Especificações Técnicas para aquisição de soluções de Segurança da Informação e Comunicação

Órgão: Ministério da Ciência, Tecnologia e Inovações

Setor: Agência Espacial Brasileira

Status: Encerrada

Abertura: 09/10/2020

Encerramento: 30/10/2020

Processo: 01350.002917/2019-50

Resumo

Vislumbrando a realização muito em breve de uma contratação para registro de preços visando à aquisição de soluções de Segurança da Informação e Comunicação (hardware, software e serviços), a Coordenação de Tecnologia da Informação e Comunicação da Agência Espacial Brasileira - AEB disponibiliza as especificações técnicas e noticia de abertura de prazo para participação social pelo canal "Consulta Pública".


Itens especificados, descrição, unidade e quantidade:

LOTE ITEM DESCRIÇÃO UNIDADE QUANTIDADE
01 01 Solução em alta disponibilidade de proteção de rede (FIREWALL) Solução 05
02 Serviço de instalação e suporte técnico pelo período de 60 meses Serviço 05
03 Treinamento da solução Serviço 01
02 01 Solução em alta disponibilidade de proteção de aplicações (WAF) Solução 02
02 Serviço de instalação e suporte técnico pelo período de 60 meses Serviço 02
03 Treinamento da solução Serviço 01
03 01 Solução de monitoramento, auditoria e criptografia de banco de dados Solução 01
02 Serviço de instalação e suporte técnico pelo período de 60 meses Serviço 01
03 Treinamento da solução Serviço 01
0401Solução de gestão e análise de vulnerabilidadesSolução01
02Serviço de instalação e suporte técnico pelo período de 60 mesesServiço01
03Treinamento da SoluçãoServiço01
0501Solução de auditoria, gestão, automação, monitoração e gerenciamento de serviços do Microsoft Active DirectoryUsuário190
02Solução de auditoria, gestão, automação, monitoração do Microsoft Exchange ServerUsuário190
03Serviço de instalação e suporte técnico pelo período de 60 mesesServiço01
04Treinamento na SoluçãoServiço01
0601Solução de auditoria, gestão, automação, monitoração para servidores de arquivos Microsoft e identificação e classificação de conteúdos sensíveisUsuário190
02Serviço de instalação e suporte técnico pelo período de 60 mesesServiço01
03Treinamento da soluçãoServiço01
0701Ferramenta de Gestão, Governança e ConformidadeUnidade01
02Serviço de instalação e suporte técnico pelo período de 60 mesesServiço01
03Treinamento da soluçãoServiço01
0801Serviço de teste de intrusão (Ethical Hacking)Serviço01



Conteúdo

- Clique no balão ou no parágrafo que deseja contribuir -

Contribuir em:
Realize o login para contribuir e ver as contribuições
Envie sua contribuição
Informe o título da contribuição
Informe o resumo da contribuição (até 2000 caracteres)
Escolha o arquivo da contribuição. Somente PDF.
 
Contribuições recebidas

1. Objeto de Contratação

1

1.1 Registro de preço para eventual aquisição de soluções e serviço de segurança e tecnologia da informação, incluindo equipamentos, licenciamento de software, garantia de atualização e funcionamento, repasse tecnológico e suporte técnico, conforme especificações.

2. Características Gerais

2

2.1. É permitido a composição da solução ofertada entre diversos fabricantes, desde que não contemple solução de software livre;

3

2.2. Na data da proposta e durante a vigência do contrato, nenhum dos equipamentos ofertados poderá estar/ser listado no site do fabricante em listas de end-of-life, end-of-support e/ou end-of-sale;

LOTE 1 - ITEM 1 - SOLUÇÃO EM ALTA DISPONIBILIDADE DE PROTEÇÃO DE REDE

3. LOTE 1 - ITEM 1 - Características de Hardware

3.1. Características de Hardware

4

3.1.1. Todos os produtos ofertados devem ser novos, sem uso anterior e, estar em linha de produção e comercialização pelo fabricante dos mesmos no momento da proposta, não devendo haver anúncio de "fim de produção" (EOL - End-of-Life) nem de apresentação do fim de comercialização (EOS - End-of-Sale) até esta data;

5

3.1.2. Devem ser fornecidas todas as licenças de hardware e software necessárias à implantação das funcionalidades especificadas a serem implementadas;

6

3.1.3. A solução deve consistir em plataforma de proteção de rede baseada em hardware dedicado, em um equipamento do tipo "appliance", possuindo sistema operacional próprio para a execução das funções especificadas. Não será aceito equipamento do tipo PC (Personal Computer) ou Servidor, com sistema operacional de uso genérico, adaptado para a função aqui especificada;

7

3.1.4. Deve possuir funcionalidade SD-WAN, podendo este item ser composto por outros players de mercado ou se a solução possui recurso de suportar dois links de internet permitindo a alta disponibilidade;

8

3.1.5. Todos os produtos ofertados devem ser entregues com a última versão de software e/ou firmware disponível no momento da aquisição;

9

3.1.6. Deve possuir 1 (uma) interface para console de acesso ao equipamento com conector RJ-45, USB e/ou serial;

10

3.1.7. Deve operar na faixa de temperatura de 0 a 40°C e, humidade relativa entre 10 e 90%;

3.2. Característica De Roteamento

11

3.2.1. Suporte a, no minimo, 1024 VLANs, agregação de links 802.3ad, policy based routing ou policy based forwarding, roteamento multcast (PIM-SM), DHCP Relay, DHCP Server e Jumbo Frames;

12

3.2.2. Deve suportar proxy ARP e entradas estáticas de ARP definidos em endereço IPv4 e IPv6. Para IPv6 será aceito o protocolo ND (Neighbor discovery);

13

3.2.3. Policy Routing permitindo que o roteamento seja baseado tanto no endereço de origem como no endereço de destino.

14

3.2.4. Deve suportar encaminhamento multicast baseado em IGMP e Roteamento Multicast utilizado PIM (Protocol indepedent Multicast);

15

3.2.5. Deve suportar pelo menos 02 (dois) modalidades do PIM:
3.2.5.1. PIM-SM (PIM sparce mode) e;
3.2.5.2. PIM-SSM (PIM source specific multcast);

16

3.2.6. Deve suportar DHCP Server IPv4;

17

3.2.7. Deve suportar DHCP Relay IPv4 e IPv6;

18

3.2.8. Possuir proteção contra anti-spoofing;

19

3.2.9. Deve possuir roteamento estático IPv4 e, no mínimo, os seguintes protocolos de roteamento dinâmico: BGP e OSPFv2;

20

3.2.10. Deve possuir ECMP (Equal-Cost Multi-Path) suportando até 4 (quatro) caminhos entre origem e destino;

21

3.2.11. Deve possuir roteamento estático IPv6, no mínimo, o protocolo de roteamento dinâmico OSPFv3;

22

3.2.12. Deve suportar NAT64;

23

3.2.13. Deve implementar Network Prefix Translation (NPTv6) ou NAT66, previndo problemas de roteamento assimétrico;

24

3.2.14. Deve suportar pelo menos os seguintes serviços em ipv4 e ipv6: Dual stack IPv4/IPv6 e as seguintes aplicações:
3.2.14.1. NDP;
3.2.14.2. ICMPv6;
3.2.14.3. DNSv6;
3.2.14.4. NTP;
3.2.14.5. Syslog

3.3. Funcionalidades de Segurança

25

3.3.1. Deve possuir tecnologia Stateful Inspection;

26

3.3.2. Deve possuir políticas por usuários, grupos de usuários, IPs, redes e zonas de segurança;

27

3.3.3. Deve possuir políticas baseadas em localização geográfica;

28

3.3.4. Deve possuir suporte os seguintes tipos de negação de tráfego nas políticas de firewall:
3.3.4.1. Drop sem notificação do bloqueio a origem;
3.3.4.2. Drop com notificação do bloqueio a origem (TCP reset ou mensagem de erro ICMP);
3.3.4.3. Blacklist (bloqueio de conexões por determinado período de tempo) local e distribuído com base em eventos de tráfego analisados pelos firewalls gerenciados;

29

3.3.5. Deve possuir controle de acesso com suporte a aplicações, serviços e protocolos pré-definidos;

30

3.3.6. A solução deve permitir salvar as configurações das políticas para serem aplicadas em horários pré-definidos;

31

3.3.7. Deve possuir regras a serem aplicadas em intervalos regulares de tempo, sendo determinados dias da semana e horários e determinados dias e horários do mês;

32

3.3.8. Deve possuir integração com diretórios LDAP, RADIUS, TACACS+ e Microsoft Active Directory para a autenticação de usuários;

33

3.3.9. Deve possuir capacidade de autenticação de administradores usando base interna, RADIUS, TACACS+ e LDAP;

34

3.3.10. Deve possuir capacidade de autenticar administradores com uso de certificados X.509;

35

3.3.11. Deve permitir o controle, sem instalação de cliente de software, em equipamentos que solicitem saída a internet para que antes de iniciar a navegação, expanda-se um portal de autenticação.

36

3.3.12. Deve possuir suporte a controle de aplicações do tipo multimídia, tais como, voz sobre IP, áudio e vídeo streaming;

37

3.3.13. Deve suportar os seguintes tipos de NAT:
3.3.13.1. NAT estático: 1-pra-1,
3.3.13.2. Tradução de porta (PAT) N-pra-1;
3.3.13.3. Suportar NAT de Origem;

38

3.3.14. Deve suportar definir o tráfego de saída baseado em aplicação web 2.0 suportando no mínimo as seguintes aplicações: Facebook, Twitter, Youtube, Salesforce, Office365 e Netflix;

3.4. Alta Disponibilidade

39

3.4.1. A solução deve ser escalável para no mínimo 2 (dois) membros em um único cluster no modo ativo/ativo ou ativo/Stand-by, ou seja, sendo possível a divisão de cargas entre os appliances, permitindo o investimento gradual ao longo do tempo.

40

3.4.2. Será permitido a utilização de balanceados de carga externos para realização do item 3.4.3.

41

3.4.3. A solução deve funcionar como um cluster sincronizando as configurações, conexões e sessões para todos os membros do cluster, garantindo a sua alta disponibilidade e segurança do ambiente. Não deve ser permitido o agrupamento de diferentes modelos de equipamentos para atender a capacidade exigida no edital.

42

3.4.4. O cluster deve suportar o uso conjunto de até 2 equipamentos simultâneos.

43

3.4.5. Deve garantir que todas as configurações sejam replicadas entre os componentes do cluster, garantindo a continuidade das conexões mesmo se um dos equipamentos do cluster estiver indisponível;

44

3.4.6. Deve possuir mecanismos que em caso de falha de link em um dos membros do cluster, devem funcionar normalmente, até que ocorra a correção do mesmo;

3.5. Funcionalidades de Controle e Inspeção de Aplicações

45

3.5.1. Deve suportar a liberação e o bloqueio de aplicações sem a necessidade de liberação de portas e protocolos;

46

3.5.2. Deve possuir pelo menos 3.200 (três mil e duzentas) aplicações diferentes, para os seguintes perfis de tráfego mínimo: tráfego relacionado a peer-to-peer, redes sociais, acesso remoto, update de software, protocolos de rede, VoIP, áudio, vídeo, proxy, serviços de mensagens instantâneas, compartilhamento de arquivos e e-mail;

47

3.5.3. Deve analisar tráfego criptografado SSL, possibilitando a leitura de payload para checagem de assinaturas das aplicações de forma granular;

48

3.5.4. Deve reconhecer e bloquear tráfego de rede do tipo ToR.

49

3.5.5. Deve notificar ao usuário quando uma aplicação for bloqueada;

50

3.5.6. Deve possibilitar que o controle de portas seja aplicado para todas as aplicações;

51

3.5.7. Deve identificar a diferença de tráfegos de Instant Messaging possuindo granularidade de controle e políticas;

52

3.5.8. Deve ser capaz de bloquear funcionalidades específicas de páginas Web ou aplicações, para no mínimo: Facebook, Facebook-chat, Facebook-Apps, Facebook-Live, Facebook-Plugins, Google, Google-Play, GoToMeeting, Zoom, Apple-FaceTime, Apple-Game-Center, Apple-iCloud;

53

3.5.9. Deve possuir integração com Microsoft Active Directory (AD) para identificação de usuários e grupos, permitindo granularidade de controle e políticas baseadas em usuários e grupos de usuários;

54

3.5.10. Deve possuir a capacidade de criação de políticas baseadas na visibilidade e controle do usuário e de grupo de usuários que estão utilizando as aplicações, através da integração com serviços de diretório Microsoft Active Directory (AD) sem a necessidade de instalação de agente no controlador de domínio, nem nas estações dos usuários;

3.6. Funcionalidades de IPS (Intrusion Prevention System)

55

3.6.1. Deve suportar o funcionamento no modo IPS no mesmo appliance;

56

3.6.2. Deve suportar implementação em camada 2 e em camada 3;

57

3.6.3. Deve inspecionar o payload de pacote de dados com o objetivo de detectar aplicações conhecidas pelo fabricante independente de porta e protocolo;

58

3.6.4. As funcionalidades de IPS e Firewall devem ser implementadas em um mesmo appliance com sua comunicação entre as funcionalidades de maneira interna, sem a necessidade de uso de qualquer interface externa;

59

3.6.5. Deve possuir o bloqueio de vulnerabilidades;

60

3.6.6. Filtrar vulnerabilidades por referências do CVE;

61

3.6.7. Deve possuir o bloqueio de exploits conhecidos;

62

3.6.8. Deve possuir proteção contra-ataques de negação de serviços;

63

3.6.9. Deve incluir mecanismos para detecção de botnets tais como:
3.6.9.1. Ghost
3.6.9.2. njRAT
3.6.9.3. Poisonlvy
3.6.9.4. Pramro
3.6.9.5. Pushdo
3.6.9.6. Ramnit

64

3.6.10. Deve reconhecer pelo menos os seguintes protocolos: Ethernet, H.323, GRE, IPv4, IPv6, ICMP, IPv4 encapsulation, IPv6 encapsulation, UDP, TCP, DNS, FTP, HTTP, HTTPS,IMAP, IMAPS, MGCP, MSRPC, NetBIOS, Datagram, Oracle, MySQL, POP3, POP3S, SIP, SRP, SSH, TELNET, WINS, X11, RTSP, SMTP, SunRPC, NNTP, SCCP, SMB, SMB2 e TFTP.

65

3.6.11. Deve bloquear técnicas avançadas de port scan;

66

3.6.12. Deve suportar nativamente a criação de assinaturas personalizadas para reconhecimento de aplicações proprietárias na própria interface gráfica da solução através da utilização de expressões regulares ou através de importação.

67

3.6.13. Deve bloquear a origem de análises do tipo portscan;

68

3.6.14. Deve possuir assinaturas e bloqueios contra-ataques do tipo buffer overflow;

69

3.6.15. Deve possuir pelo menos as seguintes ações de bloqueio:
3.6.15.1. Bloqueio direto;
3.6.15.2. Reset de conexões;
3.6.15.3. Inclusão em Blacklist;

70

3.6.16. Deve suportar a captura e exportação de pacotes;

71

3.6.17. Deve possuir configurações de diferentes políticas de controle de ameaças baseadas no tipo de arquivos;

72

3.6.18. O mecanismo de inspeção deve receber e implementar em tempo real atualizações para os ataques emergentes sem a necessidade de reiniciar o appliance;

73

3.6.19. Deve possuir exceções baseadas na fonte, destino, serviço, dias da semana, dias do mês, horário do dia, ligar ou desligar logs ou combinação entre eles;

74

3.6.20. Deve possuir um a criação de exceções das políticas de IPS, minimizando o impacto de falso-positivos no ambiente;

3.7. Funcionalidades de VPN

75

3.7.1. Deve proteger o tráfego corporativo em termos de confidencialidade através de encriptação e integridade entre os pontos finais, para estabelecer um canal virtual, através de um túnel seguro sobre uma rede tipicamente pública como a internet usando IPsec e SSL VPN;

76

3.7.2. Deve suportar os protocolos: IKEv1, IKEv2, and IPsec with IPv4 e IPv6;

77

3.7.3. Deve possuir os seguintes algoritmos de encriptação: AES-128, AES-256, AES-GCM-128, AES-GCM-256, DES, 3DES;

78

3.7.4. Deve possuir os seguintes métodos de autenticação: ECDSA signatures com certificados X.509, pre-shared key (PSK), EAP;

79

3.7.5. Deve possuir VPN site-to-site em topologias ?Full Mesh? (cada gateway tem um link específico para os demais gateways), ?Star? (gateways satélites se comunicam somente com o gateway central), ?Hub and Spoke? (onde o gateway definido como Hub tem por responsabilidade redirecionar o tráfego para o seu gateway destino (spoke));

80

3.7.6. Deve suportar Main Mode e Aggressive mode em IKE Phase I; 3.7.7. Deve suportar CRL ? Certificate Revogation Lists;

81

3.7.8. Deve suportar NAT-Transversal;

82

3.7.9. Deve suportar a criação de VPNs com base em rotas e com base em políticas;

83

3.7.10. Dever permitir a criação de políticas de controle de aplicações, IPS, anti malware e QoS para tráfego dos clientes remotos conectados na VPN, seja ela Site-to-Site ou Client-to-Site;

84

3.7.11. Deve possuir funcionalidade de acesso remoto incluindo tuneis SSL VPN e portal SSL VPN (mapeando URLs internas a URLs externas disponíveis a usuários que acessam o portal);

85

3.7.12. Deve possuir funcionalidades de SSL VPN permitindo:
3.7.12.1. Que o usuário realize a conexão por meio de cliente instalado no sistema operacional do equipamento e por meio de interface Web;
3.7.12.2. Atribuição de endereço de DNS aos clientes remotos;

86

3.7.13. Deve possuir funcionalidade de acesso remoto via cliente IPSec com as seguintes características:
3.7.13.1. O cliente VPN deve ser compatível com pelos menos os seguintes sistemas operacionais: Android, MacOS, e Windows 10;
3.7.13.2. Deve possuir capacidade de autenticação via usuário e password (com integração a servidores externos como RADIUS e TACACS) e uso de certificados;
3.7.13.3. Deve possuir solução de verificação de status dos softwares de proteção dos endpoints tais como Antivirus e Firewall antes do estabelecimento;
3.7.13.4. Deve coletar informações de diagnóstico e permitir sua exportação;
3.7.13.5. Deve possuir funcionalidade de estabelecimento e manutenção automática de conexão VPN a gateway pré-estabelecido;

3.8. Gerência de Tráfego WAN

87

3.8.1. Deve ser fornecida uma solução de gerência de tráfego WAN integrada;

88

3.8.2. A solução de gerência de tráfego WAN poderá ser parte integrante da solução de firewall sem fazer com que os requisitos do firewall sejam prejudicados;

89

3.8.3. O balanceamento deve ser capaz de selecionar o caminho para o destino usando pelo menos um dos seguintes fatores:
3.8.3.1. Banda disponível, Jitter, Latência, Perda de Pacotes;
3.8.3.2. Ping por intervalo, tempo de resposta e resolução DNS.

90

3.8.4. No caso de falha de um enlace, todas as conexões existentes devem ser automaticamente transferidas (statefully) para o outro enlace que estiver ativo, sem a necessidade de intervenção do administrador;

91

3.8.5. Deve ser capaz de configurar os links para atuar da seguinte forma:
3.8.5.1. Utilização dos dois links para melhor distribuição de carga;
3.8.5.2. Configurar as maiores cargas para ser direcionada o link mais rápido;
3.8.5.3. Utilizar os links no conceito de HA;

92

3.8.6. Deve possuir acrescentar novos enlaces de comunicação ao firewall sem que haja a necessidade de alterar enlaces existentes;

93

3.8.7. Deve possuir funcionalidades de agregação de VPN site-to-site, baseando-se em políticas de VPN (quando a política define ser o tráfego deve ser enviado via VPN) ou com base em rotas, suportando topologias em hub e spoke, full-mesh ou malha parcial.

94

3.8.8. Deve ter a capacidade de realizar a seleção de links/agregação de links de forma dinâmica e automática;

95

3.8.9. A agregação de link deve possibilitar pelo menos dois modos:
3.8.9.1. Balanceamento de carga (load sharing): tráfego balanceado entre diferentes enlaces com base em medida de desempenho (tempo ao destino) ou banda relativa entre enlaces;
3.8.9.2. Deve ser possível definir um peso relativo para quanto deseja que cada um dos links de ISP seja usado;

96

3.8.10. Deve realizar a seleção do link e estado de link (ativo/standby);

97

3.8.11. Deve ser possível criar rota para qual link outbound o tráfego será encaminhado em função da aplicação transportada;

98

3.8.12. Os equipamentos devem possuir mecanismos para facilitar a instalação onde seja possível carregar a configuração remotamente de um escritório central ou da nuvem, de tal forma que seja necessário apenas a configuração de um endereço ip restringindo a necessidade de interação local para localidades remotas;

3.9. Funcionalidades de Filtro WEB

99

3.9.1. Deve especificar política por tempo, ou seja, a definição de regras para um determinado horário ou período (dia, mês, ano, dia da semana e hora);

100

3.9.2. Deve ser possível a criação de políticas por usuários, grupos de usuários, IPs e redes;

101

3.9.3. Deve possuir a capacidade de criar políticas baseadas na visibilidade e controle de quem está utilizando o serviços de diretório, autenticação via LDAP, Active Directory;

102

3.9.4. Deve permitir popular todos os logs de URL com as informações dos usuários conforme descrito na integração com serviços de diretório;

103

3.9.5. Deve suportar a capacidade de criar políticas baseadas no controle por URL e Categoria de URL;

104

3.9.6. Deve possuir pelo no mínimo 70 categorias de URLs;

105

3.9.7. Deve suportar a customização de páginas de bloqueio;

106

3.9.8. Deve permitir o bloqueio e continuação (possibilitando que o usuário acesse um site potencialmente bloqueado informando o mesmo na tela de bloqueio e possibilitando a utilização de um botão "Continuar" para permitir o usuário continuar acessando o site);

3.10. Funcionalidades de Filtro de Ameaças Avançadas

107

3.10.1. Possuir funcionalidade avançada e inteligente de detecção de ameaças de ?dia-zero? (zero-day) através de sandbox para análise de arquivos e URLs suspeitos, análise comportamental e aprendizado automático (?machine learning?).

108

3.10.2 Previnir através do bloqueio efetivo do malware desconhecido (Dia Zero), oriundo da comunicação web (HTTP e HTTPS), FTP e E-mail (SMTP/TLS) via MTA durante análise completa no arquivo no ambiente sandbox, sem que o mesmo seja entregue parcialmente ao cliente;

109

3.10.3. Suportar geração automática de assinaturas para novos malwares descobertos através de análise comportamental, com envio automático para todos os sensores pertencentes a este serviço;

110

3.10.4. Suporte à análise de artefatos maliciosos em ambiente controlado com capacidade de detectar malwares de dia-zero em, no mínimo, os sistemas operacionais Windows 7 e Windows 10;

111

3.10.5. Deve implementar análise em sandbox, detecção e bloqueio de malwares em arquivos executáveis, DLLs, ZIP e criptografados em SSL;

112

3.10.6. Suporte à análise e contenção de arquivos executáveis, Portable Document Format (PDF), Archives (ZIP e GZIP), Microsoft Office (DOC, DOCX, XLS, XLSX, PPT e PPTX e Java);

113

3.10.7. Capacidade de emissão de relatórios, incluindo no mínimo as seguintes informações: quantidade de conexões, endereços IP, quantidade de malwares, quantidade de artefatos analisados, extensão de arquivos, comportamentos maliciosos, alterações em registros de sistemas operacionais, acesso e alterações em arquivos binários.

3.11. Sistema de Gerência Centralizada

114

3.11.1. A interface de gerência centralizada deve suportar a edição de política da mesma política segurança por mais de um usuário administrador de forma simultânea.

115

3.11.2. A gerência centralizada deve possuir modulo de solução para validação de comformidade de acordo com normas de mercado conforme exemplo:
3.11.2.1. ISO 27001 e ISO 27002;
3.11.2.2. PCI-DSS;
3.11.2.3. GDPR (base da norma LGPD);

116

3.11.3. Deve permitir a customização do padrão regulatório da própria instituição;

117

3.11.4. Deve monitorar constantemente o status de conformidade da solução aos padrões regulatórios informados;

118

3.11.5. Gerar relatórios regulamentares com base nas configurações de segurança em tempo real;

119

3.11.6. Destacar potenciais violações de segurança e conformidade, reduzindo o tempo necessário e os erros associados a gestão de conformidade manual;

120

3.11.7. A interface de gerência centralizada deve suportar a edição de políticas de segurança por mais de um usuário administrador de forma simultânea;

121

3.11.8. Deve permitir o gerenciamento centralizado através de uma única consoleque permite a visibilidade e gestão de todos os equipamentos de segurança (lote 1), nas configurações de políticas, visibilidade de eventos/logs.

122

3.11.9. Deve suportar a definição de um modelo de regras (política de segurança), sobre as quais todas as demais regras ficarão subordinadas, seguindo o conceito de federalização ou hierarquização;

123

3.11.10. A gerência deve permitir a busca por ativos;

124

3.11.11. Deve possuir a comparação entre a política atual e a última política;

125

3.11.12. Deve possuir o agrupamento por tipo e por geo-localização;

126

3.11.13. Deve permitir a visualização da utilização dos links por equipamento;

127

3.11.14. Deve permitir a visualização das aplicações mais utilizadas em cada link.

128

3.11.15. Possuir a visualização das VPN?s, permitindo sua configuração através de ferramenta gráfica, com técnica facilitadora de arrasta e solta para alteração da política.

129

3.11.16. Deve possuir ferramenta integrada de validação de políticas, permitindo ao administrador verificar a parte da configuração que gerou questões associadas ao processo de validação;

130

3.11.17. Deve realizar o gerenciamento centralizado das licenças dos equipamentos monitorados;

131

3.11.18. O gerenciamento deve suportar comunicação via cliente ou web (GUI), utilizando protocolo seguro (criptografado), encriptação entre equipamento e sistema de gerenciamento;

132

3.11.19. Cliente para administração da solução de gerenciamento, deve possuir compatibilidade e homologação para os sistemas operacionais Windows ou Linux;

133

3.11.20. Deve possuir perfis de acesso a console customizáveis, com permissões granulares, no mínimo com os seguintes perfis: acesso de escrita, acesso de leitura, criação de usuários, alteração de configurações, alteração em políticas de acesso.

134

3.11.21. Deve permitir a localização de regras em que determinado endereço IP, range de IP, sub-rede ou objeto estejam sendo utilizados;

135

3.11.22. Deve permitir a visualização do número de vezes que uma determinada regra foi usada (hits) em diferentes intervalos de tempo como dia, semana, mês.

136

3.11.23. Deve permitir a exportação de logs de auditoria detalhados, no mínimo, informando alterações da configuração realizada com horário das alterações;

137

3.11.24. Deve possibilitar a coleta de estatísticas do tráfego realizado pelos dispositivos de segurança;

138

3.11.25. Deve permitir a geração de relatórios, em tempo real, para a visualização de origens e destinos do tráfego gerado na Instituição;

139

3.11.26. Deve possuir a capacidade de gerar relatórios gráfico que permita visualizar as mudanças na utilização de aplicações na rede, no que se refere a um período anterior, para permitir comparação entre os diferentes consumos realizados pelas aplicações, no tempo presente com relação ao tempo passado;

140

3.11.27. Deve prover visualização sumarizada e possuir gerar relatórios de todas as ameaças (IPS, antivírus, anti-malware) e aplicações trafegadas pelos firewalls gerenciados;

141

3.11.28. Deve possuir a criação de dashboards customizados, possibilitando a visibilidade do tráfego de aplicações, usuários, ameaças identificadas pelo IPS, antivírus, malwares "Zero Day" detectados em sandbox (quando aplicável) e tráfego bloqueado;

142

3.11.29. Deve possuir mecanismo "Drill-Down" para visualização, em tempo real, das informações sumárias produzidas pela ferramenta de gerência;

143

3.11.30. Deve permitir que os relatórios sejam enviados via e-mail;

144

3.11.31. Deve permitir que os relatórios possam ser exportados em PDF e documento de formato aberto;

145

3.11.32. Deve possuir a capacidade de gerar alertas provenientes de eventos como:
3.11.32.1. Erro no sistema operacional do gerenciador centralizado;
3.11.32.2. O uso de uma determinada regra de uma política;
3.11.32.3. Deve permitir que os logs sejam rotacionados de forma que os registros mais antigos sejam apagados quando não houver espaço de armazenamento disponível;

146

3.11.33. Deve possuir RESTful API para integração com soluções de terceiros,

147

3.11.34. Deve possuir a exibição, de forma histórica e em tempo real (permitindo a filtragem por firewall gerenciado), com atualização automática e contínua, a cada minuto, hora, dia, semana ou mês das seguintes informações:
3.11.34.1. Situação do dispositivo e do cluster (geral);
3.11.34.2. Principais aplicações;
3.11.34.3. Principais aplicações por classificação (chat, redes sociais, compartilhamento de arquivos, ...)
3.11.34.4. Principais aplicações por volume transferido;
3.11.34.5. Volume de tráfego transferido nos túneis VPN;
3.11.34.6. Deve permitir a atualização dos firewalls de forma remota;

148

3.11.35. Em modo cluster o firewall deve ser atualizado sem interrupções, não havendo interferência no encaminhamento e tratamento das conexões;

149

3.11.36. Permitir o gerenciamento de todas os equipamentos contratados em uma console única de gerenciamento.

150

3.11.37. Permitir o recebimento de 10 GB de logs por dia;

151

3.11.38. Caso a solução possua licenças relacionadas a capacidade de recebimento de log indexados e armazenamento, devera ser entregue a de maior capacidade suportada ou ilimitada;


3.12. Características de Hardware Específicas

152

3.12.1. Deve suportar throughput de, no mínimo 9.2 (nove ponto dois) Gbps, com as funcionalidades de firewall, prevenção de intrusão, controle de aplicação, filtro de URL, antivírus, Anti-Bot e prevenção de ameaças avançadas de dia zero;

153

3.12.2. Deve suportar a performance considerando as funcionalidades de Next Generation firewall de 07 (sete) Gbps;

154

3.12.3. Deve suportar inspecionar 04 (quatro) milhões de conexões simultâneas TCP;

155

3.12.4. Deve suportar no mínimo 180.000 (cento e oitenta mil) novas conexões TCP por segundo;

156

3.12.5. Deve ser licenciado para 10 (dez) contextos virtuais;

157

3.12.6. Deve ser licenciado para suportar 3.000 (três mil) tuneis de VPN;

158

3.12.7. Deve possuir as seguintes quantidades de interfaces de rede.
3.12.7.1. No mínimo, 10 (dez) interfaces de rede de 10/100/100 base-TX RJ-45;
3.12.7.2. No mínimo, 04 (quatro) interfaces de rede de 10GbE SFP+ acompanhadas de seus respectivos Gbics. Caso a solução necessite de licenciamento para o funcionamento das interfaces de rede, deverá ser fornecida com todas as interfaces licenciadas;

159

3.12.8. Deve suportar a expansão futura para, no mínimo, 02 interfaces 40 Gbps QSFP acompanhadas de seus respectivos Gbics. Caso a solução não suporte expansão futura com uso de módulos de interface, os appliances fornecidos deverão ser fornecidos com as interfaces, acompanhadas de seus respectivos Gbics, especificadas neste item;

160

3.12.9. Deve suportar fontes e ventoinhas redundantes e hot swappable;

LOTE 1 - ITEM 2 - Garantia e suporte técnico pelo período de 60 meses

4. LOTE 1 - ITEM 2 - Garantia contratual e suporte técnico pelo período de 60 meses

161

4.1. Os serviços de suporte técnico deverão contemplar as manutenções corretivas e evolutivas para a solução contratada e não poderão acarretar custos adicionais ao CONTRATANTE, além do contratado.

162

4.2. Entende-se por ?manutenção corretiva? uma série de procedimentos destinados a recolocar a solução em pleno estado de funcionamento, removendo definitivamente os defeitos apresentados.

163

4.3. Entende-se por ?manutenção evolutiva? o fornecimento de novas versões e/ ou releases corretivas e/ou evolutivas de softwares que compõem a solução corporativa do software, lançadas durante a vigência deste contrato.

164

4.4. Durante o período de vigência do contrato a CONTRATANTE terá direito, sem ônus adicional, a todas as atualizações de versão e releases dos softwares e firmwares que fazem parte da solução ofertada.

165

4.5. Compreende-se nesta etapa a instalação de equipamentos, sistemas, softwares e aplicativos da CONTRATANTE nos PRODUTOS fornecidos, bem como a migração das configurações existentes na CONTRATANTE para os PRODUTOS fornecidos pela CONTRATADA;

166

4.6. A etapa de instalação, configuração e migração deve acontecer de forma gradual e transparente, de acordo com a conveniência da CONTRATANTE;

167

4.7.  Durante a etapa de instalação, configuração e migração, os PRODUTOS fornecidos pela CONTRATADA serão colocados em plena operação, em condições reais de produção;

168

4.8. Durante esta etapa, a equipe da CONTRATADA deverá estar presente, nos horários de testes, implantação e migração, definidos pela CONTRATANTE;

169

4.9. As atividades de instalação, configuração e migração, de acordo com a necessidade, poderão ser executadas em horário comercial, período noturno ou final de semana;

170

4.10. A CONTRATADA deve garantir que a migração não irá alterar o funcionamento dos serviços instalados na unidade objeto da migração, sem a prévia autorização da CONTRATANTE;

171

4.11. A CONTRATADA deverá, com a supervisão e aprovação da CONTRATANTE, planejar e realizar a instalação e configuração dos softwares com total interoperabilidade operacional com ambiente atual da CONTRATANTE, sem impacto no ambiente de produção;

172

4.12. Durante a implantação e integração, a CONTRATADA deverá realizar, entre outras atividades: instalação de softwares, acompanhamento de migrações de regras e políticas, elaboração e execução de scripts, análise de performance, tunning, resolução de problemas e implementação de segurança;

173

4.13. Para instalação, configuração e migração devem ser consideradas as seguintes premissas:

174

4.13.1. Caberá a CONTRATADA a disponibilização de todos os recursos necessários, tais como hardwares, softwares, recursos humanos necessários à instalação dos PRODUTOS;

175

4.13.2. Caberá CONTRATADA a disponibilização de ferramentas / scripts de retorno imediato ao estado original da estrutura da CONTRATADA caso a instalação e migração dos produtos / softwares da CONTRATADA apresente falha.

176

4.14. A CONTRATADA realizará adequação/configuração dos PRODUTOS fornecidos ao longo da etapa de migração e realização de novas configurações;

177

4.15. A CONTRATADA deverá fornecer todas as licenças necessárias dos PRODUTOS ofertados e dos elementos adicionais que se fizerem necessários à instalação/migração e ao pleno funcionamento do ambiente de produção.

178

4.16. Serviço de suporte técnico on-site

179

4.16.1. A assistência técnica em garantia poderá ser prestada pelo fabricante dos equipamentos ou empresa prestadora de serviços de assistência técnica devidamente credenciada pelo mesmo, porém, não exime a responsabilidade da empresa contratada sob o bem adquirido. Em razão das normas de garantia de serviços toda substituição, seja ela total ou parcial, deverá ser feita por técnico especializado, ficando o novo equipamento ou componente em perfeitas condições de uso e em conformidade com as especificações técnicas do fabricante.

180

4.16.2. A assistência técnica poderá ser on-site ou remoto, sob demanda, consistirá na manutenção corretiva de hardware e/ou software comunicados pela Agência Espacial Brasileira pela própria prestadora do serviço devendo cobrir todo e qualquer defeito apresentado, incluindo o fornecimento e a substituição de peças e/ou componentes, ajustes, reparos e demais correções necessárias.

181

4.16.3. O atendimento deverá ser prestado de acordo com a gravidade do problema, conforme previsto na Tabela de Prazos definido neste termo de referência. Sempre que for tecnicamente possível, a manutenção corretiva poderá ser prestada por meio de ação remota ou, quando for inviável a solução remota, a execução dos serviços deverá ocorrer on-site. Na manutenção corretiva deve ser obedecido o mesmo padrão de qualidade e nível tecnológico existente nos equipamentos.

182

4.16.4. Havendo necessidade de remoção de peças ou partes para oficina/laboratório, a Contratada deverá substituir a peça ou parte defeituosa por outra, provisoriamente, até que possa ser consertada e devolvida. Caso a peça não possa ser consertada, deverá ser substituída por outra igual ou superior, sem ônus para o Agência Espacial Brasileira.

183

4.16.5. O registro de solicitações de atendimento técnico presencial ocorrerá através de central de atendimento, por meio de ligação gratuita ou ligação local ao endereço de entrega, com funcionamento 24 (vinte e quatro) horas por dia e 7 (sete) dias por semana, sendo também aceitável o registro de solicitação de atendimento técnico presencial pela Internet em até 10 (dez) dias corridos após a assinatura do contrato.

184

4.16.6. A Contratada deverá indicar o endereço de Sistema de Abertura de Chamados, Correio eletrônico e o número telefônico para os atendimentos de assistência técnica. Durante a vigência do contrato, a CONTRATADA deverá comunicar à Agência Espacial Brasileira, imediatamente, quaisquer alterações nos meios de contato para os atendimentos de assistência técnica. 

185

4.17. Requisitos de Garantia Contratual e Manutenção Preventiva e Corretiva

186

4.17.1. Somente será aceito que a CONTRATADA assuma a execução direta dos serviços de assistência técnica, caso possua credenciamento junto a fabricante, pertencendo a sua rede de assistência técnica autorizada, para que se mantenha em conformidade com normas de garantia.

187

4.17.2. Todo o processo de acompanhamento dos Chamados Técnicos deverá ser centralizado. O atendimento (internet ou telefone) deverá ser prestado em Português (Brasileiro). Para cada Chamado Técnico, deverá constar a data, hora e número de série do equipamento a ser atendido.

188

4.17.3. A garantia de funcionamento da solução ofertada deverá ser pelo período de 60 meses, contada a partir da data de emissão do Termo de Recebimento Definitivo do equipamento.

189

4.17.4. A CONTRATADA deverá permitir o registro de solicitações de atendimento técnico presencial, em regime de garantia, ou técnico à distância, durante todo o período da garantia.

190

4.17.5. As solicitações de atendimento técnico presencial partirão da gestão ou fiscalização contratual e deverão ser lançadas em registro próprio pela CONTRATADA.

191

4.17.6. Para cada solicitação de atendimento técnico presencial deverá ser gerado um identificador único e sequencial, para fins de controle e acompanhamento da solicitação.

192

4.17.7. O atendimento técnico presencial deverá ser provido 24 (vinte e quatro) horas por dia e sete dias por semana para os equipamentos e softwares instalados na CONTRATANTE.

193

4.17.8. O prazo máximo para que se inicie o atendimento técnico presencial na SEDE da CONTRATANTE, será de até 12 (doze) horas, contado a partir do momento em que for realizada a solicitação de atendimento técnico pela CONTRATANTE, de acordo com o Acordo de nível de serviço estabelecido.

194

4.17.9. Entende-se por término do atendimento técnico presencial a disponibilidade do equipamento para uso em perfeitas condições de funcionamento, na edificação onde estiver instalada, atestado pela CONTRATANTE.

195

4.17.10. O atendimento técnico presencial poderá envolver manutenção preventiva ou corretiva, com a substituição de peças, componentes e materiais, atualizações de BIOS, firmware e drivers, sem ônus adicional à CONTRATANTE.

196

4.17.11. Entende-se por manutenção preventiva aquela que é realizada periodicamente para evitar paradas e manter na solução em condições de trabalho normal, programada em comum acordo com a CONTRATANTE, de modo a evitar ao máximo a indisponibilidade dos equipamentos contratados.

197

4.17.12. Na realização da manutenção preventiva a CONTRATADA deverá realizar revisões, testes e adequações nas configurações e regras aplicadas nos equipamentos e nas ferramentas de gerenciamento de senhas, visando a garantir o melhor desempenho da solução CONTRATADA, assim como realizar a verificação de sobreposição e/ou inconsistência das regras de segurança. A CONTRATADA também deverá analisar as condições de instalação e acondicionamento do hardware com o objetivo de verificar se as condições físicas e ambientais estão adequadas para o bom funcionamento da solução.

198

4.17.13. Serão executadas manutenções preventivas sempre que solicitado pela CONTRATANTE coberto pelo regime de garantia.

199

4.17.14. Entende-se por manutenção corretiva uma série de procedimentos destinados a recolocar as soluções em seu perfeito estado de uso.

200

4.17.15. Ao final de cada atendimento técnico presencial, a CONTRATADA deverá apresentar ?Relatório de Atendimento? ou documento similar, contendo a data, hora de chamada, início e término do atendimento, identificação do problema, providencias adotadas e outras informações que sejam pertinentes, a ser assinada pela CONTRATANTE e pelo responsável pela manutenção.

201

4.17.16. A CONTRATADA também deverá prestar atendimento técnico à distância, por técnicos devidamente habilitados.

202

4.17.17. As solicitações de atendimento técnico à distância partirão igualmente da gestão ou fiscalização contratual e prescindem de lançamento em registro próprio pela CONTRATADA.

203

4.17.18. A CONTRATADA deverá realizar o atendimento respeitando o nível de severidade e criticidade conforme os índices abaixo:


Criticidade Descrição Prazo Máximo de Atendimento
Severidade 1 (Alta) Sistema parado ou produto inoperante com impacto nas operações críticas de negócio. Exemplos: Servidor de produção ou outro sistema inicial está inativo. Parte substancial dos dados essenciais corre risco de perda ou corrupção. Operações relacionadas ao negócio foram afetadas, falha que compromete a integridade geral do sistema ou dos dados. Em até 6 (seis) horas um técnico do fornecedor deve entrar em contato para realizar o atendimento, podendo ser de forma remota ou presencial.
Severidade 2 (Média) Alto impacto no ambiente de produção ou grande restrição de funcionalidade. Exemplo: Ocorreu um problema no qual um recurso importante foi gravemente danificado. As operações podem continuar de forma limitada, embora a produtividade em longo prazo possa ser afetada negativamente. O defeito não gera impacto ao negócio. Exemplo: Ocorreu um erro que causou impacto negativo limitado na operações. Em até 8 (oito) horas um técnico do fornecedor deve entrar em contato para realizar o atendimento, podendo ser de forma remota ou presencial.
Severidade 3 (Baixa) O problema é pequeno, de caráter preventivo e operacional. Exemplos: O problema não afetou as operações da contratante negativamente; Atualização preventiva de softwares e firmwares agendados. Encaminhamento de solicitações e ou sugestões para novos recursos ou aprimoramento e configuração do software licenciado. Em até 8 (oito) horas um técnico do fornecedor deve entrar em contato para realizar o atendimento, podendo ser de forma remota ou presencial.



LOTE 1 ? ITEM 03 ? TREINAMENTO DA SOLUÇÃO

5. Treinamento da Solução

204

5.1. O treinamento deverá ser realizado no Brasil, em português, na modalidade presencial, em local fornecido pela CONTRATADA;

205

5.2. O local do treinamento deverá possuir todas as facilidades para um perfeito desempenho das atividades, incluindo os recursos áudio visuais e laboratórios necessários;

206

5.3. Caberá à CONTRATADA prover todos os recursos didáticos necessários à realização do treinamento, incluindo (mas não se restringindo a) sala de aula, data show, apostilas, bloco de anotações e caneta para cada treinando;

207

5.4. Deverá ser fornecido treinamento na solução adquirida de no mínimo 20 horas, para até 08 (oito) pessoas, designadas pela CONTRATANTE, em até 15 dias após o término da instalação, a fim de repassar as informações necessárias dos produtos adquiridos, incluindo detalhamento do produto e seus aspectos gerais de configuração e operação com instrutor certificado pela fabricante dos produtos para realizar os treinamentos, comprovado mediante apresentação de certificado expedido pela CONTRATADA da solução;

208

5.5. O treinamento deverá cobrir conhecimentos necessários para instalação, administração, configuração, gerência, otimização, resolução de problemas e utilização da solução;

209

5.6. A CONTRATADA deverá fornecer material didático individual, de maneira impressa ou digital;

210

5.7. O treinamento deverá englobar a realização de laboratórios práticos, fornecidos pela CONTRATADA, para configuração e execução de exercícios práticos na mesma versão dos produtos ofertados;

211

5.8. Os custos referentes ao deslocamento, hospedagem e alimentação dos instrutores serão de responsabilidade da CONTRATANTE;

212

5.9. Após a finalização do treinamento, a CONTRATADA, deverá emitir certificado individual de conclusão, para todos os participantes;

213

5.10. O certificado de conclusão deverá ser emitido em português brasileiro.


LOTE 2 ? ITEM 1 ? SOLUÇÃO EM ALTA DISPONIBILIDADE DE PROTEÇÃO DE APLICAÇÕES - APPLIANCE FÍSICO

6. Proteção de Aplicações (WAF)

6.1. Requisitos Gerais

214

6.1.1. A solução deverá ser composta de hardware e software do mesmo fabricante, atendendo todos os requisitos de integração e performance apresentados;

215

6.1.2. Na aquisição de dois ou mais equipamentos descritos nesse item, toda solução deverá ser instalada em cluster de alta disponibilidade (ativo/passivo), em localidades definidas pela CONTRATANTE;

216

6.1.3. A implantação dos equipamentos deverá ser planejada previamente em conjunto com a CONTRATANTE, onde deveram ser definidos todos os passos necessários para a instalação, incluindo o cronograma de implantação, planos de testes e homologação da solução;

217

6.1.4. Antes da instalação devem ser identificados todos os ativos de rede, servidores, switches, links e qualquer outro equipamento da CONTRATANTE que tenha comunicação com a solução ofertada;

218

6.1.5. A instalação dos equipamentos só poderá ser iniciada após a conclusão do planejamento e levantamento de todos os requisitos para implantação, testes e homologação da solução;

219

6.1.6. A instalação física dos equipamentos em rack da contratante e a parte elétrica deverá ser realizada de acordo com as recomendações do fabricante;

220

6.1.7. Deverão ser fornecidos todos os cabos, suportes (se necessários, "gavetas", "braços" e "trilhos") para a instalação do equipamento no rack;

221

6.1.8. Antes da configuração deverá ser feita a atualização da versão do software ou sistema operacional do Appliance para a última versão recomendada pelo fabricante;

222

6.1.9. Deverá ser fornecido treinamento na solução adquirida de no mínimo 20 horas, para até 15 (quinze) pessoas, designadas pela Contratante, em até 15 dias após o término da instalação, a fim de repassar as informações necessárias dos produtos adquiridos, incluindo detalhamento do produto e seus aspectos gerais de configuração e operação com instrutor certificado pela fabricante dos produtos para realizar os treinamentos, comprovado mediante apresentação de certificado expedido pela CONTRATADA da solução;

223

6.1.10. O material a ser fornecido no treinamento deverá ser o material certificado pelo próprio fabricante, não serão aceitas cópias de apostilas;

224

6.1.11. Toda a infraestrutura, local do treinamento, os custos de material (apostilas, manuais, etc.), alimentação (coffee break), instrutor (deslocamento, hospedagem e vencimentos) ficará a cargo da CONTRATADA.


6.2. Requisitos de Hardware

225

6.2.1. O equipamento deverá possuir sistema operacional customizado especificamente para funções de Web Application Firewall. Possuir painel/led indicativo de on/off do uso de disco e interfaces de rede;

226

6.2.2. Possuir capacidade de operar, no mínimo, 600 TPS de tráfego SSL com chaves de 2048 bits;

227

6.2.3. Possuir capacidade de operar, no mínimo, 10Gbps de tráfego SSL;

228

6.2.4. Possuir capacidade de comprimir, no mínimo, 20Gbps do tráfego HTTP em hardware;

229

6.2.5. Possuir capacidade de operar, no mínimo, 300 mil de requisições por segundo na camada 7;

230

6.2.6. Possuir capacidade de operar, no mínimo, 800 mil conexões por segundo na camada 4;

231

6.2.7. Possuir capacidade de operar, no mínimo, 10 milhões de SYN cookies por segundo;

232

6.2.8. Possuir capacidade de operar, no mínimo, 10 milhões de conexões concorrentes;

6.3. Requisitos de Software

233

6.3.1. A solução deve operar nos modos ativo/ativo e ativo/standby;

234

6.3.2. O equipamento oferecido deverá proteger a infra-estrutura web de ataques contra a camada de aplicação (Camada 7);

235

6.3.3. Deve possuir tecnologia para mitigação de DDoS em camada 7 baseado em análise comportamental, usando o aprendizado;

236

6.3.4. Não deve haver a necessidade de intervenção de usuário para configurar thresholds DoS pois esses valores devem ser auto-ajustáveis e adaptativos de acordo com mudanças;

237

6.3.5. A solução deve possuir a capacidade de automaticamente capturar tráfego no formato TCP Dump relativos a ataques DoS L7, Web Scraping e força bruta permitindo uma análise mais aprofundada por parte do administrador.

238

6.3.6. A solução deve suportar o uso de firewall camada 3-4 junto com firewall camada 7 no mesmo equipamento/appliance para evitar problemas com o aumento da latência.

239

6.3.7. O equipamento oferecido deverá possuir a certificação ICSA para Firewall de Aplicação (Web Application Firewall);

240

6.3.8. Permitir a utilização de um modelo positivo de segurança para proteger contra-ataques conhecidos aos protocolos HTTP e HTTPS e às aplicações web acessíveis através destes;

241

6.3.9. Possuir política de segurança de aplicações web pré-configurada na solução;

242

6.3.10. Permite a criação de políticas diferenciadas por aplicação e por URL, onde cada aplicação e URL poderão ter políticas totalmente diferentes;

243

6.3.11. Permitir a criação de políticas diferenciadas por aplicação;

244

6.3.12. Permite configurar de forma granular, por aplicação protegida, restrições de métodos HTTP permitidos, tipos ou versões de protocolos, tipos de caracteres e versões utilizadas de cookies;

245

6.3.13. A solução deverá se integrar a soluções de análise (Scanner) de vulnerabilidade do site. O resultado desta análise deve ser utilizado para configurar as políticas do equipamento;

246

6.3.14. A solução deve permitir a integração com soluções de análise de vulnerabilidades (Scanner) de terceiros como por exemplo: Trustwave App Scanner (Cenzic), White Hat Sentinel, IBM AppScan, Qualys, Quotium Seeker, HP Webinspect, VCM;

247

6.3.15. A solução deve permitir a inspeção de upload de arquivos para os servidores de aplicação;

248

6.3.16. Permitir que a inspeção seja realizada via integração ICAP. Deve ser possível integrar com diferentes softwares de Antivírus;

249

6.3.17. Deve se integrar com o software de Antivírus existente no ambiente da CONTRATANTE;

250

6.3.18. Permitir que regras customizadas em linguagem aberta possam ser utilizadas para customizar e aumentar a proteção contra ataques recentes;

251

6.3.19. Permitir a integração com Firewall de Database de outros fabricantes;

252

6.3.20. A solução deve se integrar com outras soluções de segurança e análise de logs de outros fabricantes;

253

6.3.21. O fabricante da solução deve disponibilizar também a comercialização como serviço na nuvem (WAFaaS), incluindo o serviço de migrar as regras/políticas existentes do Datacenter para a nuvem;

254

6.3.22. Deve possuir tecnologia de detecção de anomalias baseado nos IDs dos dispositivos, permitindo a detecção de DoS, ataques de força bruta e ataques de sequestro de sessão. Deve ser possível filtrar relatórios por IDs de dispositivos;

255

6.3.23. A solução deve permitir incluir em blacklist os endereços IPs que repetidamente falharem a desafios no browser. Portanto o sistema não precisa usar recursos para mitigar tráfego enviado por esses endereços Ips. Ao entrar em Blacklist o sistema automaticamente bloqueia os pacotes enviados por esse endereço por um período de tempo;

256

6.3.24. A solução deve suportar e fazer a proteção do tráfego em cima de protocolo WebSocket;

257

6.3.25. A solução deve possibilitar o uso de múltiplas formas de logging remoto ao mesmo tempo para a mesma aplicação. Portanto dever ser possível, por exemplo, logar os requests válidos num servidor de SIEM e os requests inválidos em outro servidor de SIEM de outra marca e modelo;

258

6.3.26. A solução deverá possuir funcionalidade de proteção positiva e segura contra ataques, como:
6.3.26.1. Acesso por Força Bruta;
6.3.26.2. Ameaças Web AJAX/JSON;
6.3.26.3. DoS e DDoS camada ;
6.3.26.4. Buffer Overflow;
6.3.26.5. Cross Site Request Forgery (CSRF);
6.3.26.6. Cross-Site Scripting (XSS);
6.3.26.7. SQL Injection;
6.3.26.8. Parameter tampering;
6.3.26.9. Cookie poisoning;
6.3.26.10. HTTP Request Smuggling;
6.3.26.11. Manipulação de campos escondidos;
6.3.26.12. Manipulação de cookies;
6.3.26.13. Roubo de sessão através de manipulação de cookies;
6.3.26.14. Sequestro de sessão;
6.3.26.15. Força bruta no browser;
6.3.26.16. XML bombs/DoS;
6.3.26.17. Checagem de consistência de formulários;
6.3.26.18. Checagem do cabeçalho do ?user-agent? para identificar clientes inválidos;

259

6.3.27. A solução deve suportar o uso de páginas de login AJAX/JSON tanto com configuração manual como descoberta automática;

260

6.3.28. Deverá ser capaz de identificar e bloquear ataques através de assinaturas, com atualização periódica da base pelo fabricante;

261

6.3.29. As assinaturas devem ser atualizadas durante o período do contrato sem que seja necessário nenhum custo a mais por parte da CONTRATANTE da aquisição de novas licenças ou subscrições e devem fazer parte da solução de WAF ofertada;

262

6.3.30. Permitir criação de regras de verificação personalizadas ou política de segurança configurada;

263

6.3.31. Prevenir contra vazamento de dados sensíveis (mensagens de erro HTTP, códigos das aplicações, entre outros) dos servidores de aplicação, retirando os dados ou mascarando a informação nas páginas enviadas aos usuários;

264

6.3.32. Permitir a customização da resposta de bloqueio;

265

6.3.33. Permitir a liberação temporária ou definitiva (whitelist) de endereços IP bloqueados por terem originados ataques detectados pela solução;

266

6.3.34. Deve permitir limitar o número de conexões e requisições por IP de origem para cada endereço IP Virtual;

267

6.3.35. Deve permitir adicionar, automaticamente e manualmente, em uma lista de bloqueio, os endereços IP de origem que ultrapassarem o limite estabelecido, por um período de tempo determinado através de configuração;

268

6.3.36. Deve permitir criar lista de exceção (whitelist) por endereço IP específico ou faixa de sub-rede;

269

6.3.37. A solução deve suportar o modelo de segurança positiva definido pelo OWASP, pelo menos o que consta no TOP 10;

270

6.3.38. Permitir o uso do parâmetro HTTP X-Forwarded-For como parte da política de controle;

271

6.3.39. Deverá implantar, no mínimo, as seguintes funcionalidades:
6.3.39.1. Proteção contra Buffer Overflow;
6.3.39.2. Checagem de URL;
6.3.39.3. Checagem de métodos HTTP utilizados (GET, POST, HEAD, OPTIONS, PUT, TRACE, DELETE, CONNECT);
6.3.39.4. Proteção contra envios de comandos SQL escondidos nas requisições enviadas a bases de dados (SQL Injection);
6.3.39.5. Proteção contra Cross-site Scripting;
6.3.39.6. Funcionalidade de Cookie Encryption;
6.3.39.7. Checagem de consistência de formulários;
6.3.39.8. Checagem do cabeçalho ?user-agent? para identificar clientes inválidos.

272

6.3.40. Cloaking ? Proteção contra exposição de informações do ambiente e servidores internos como:
6.3.40.1. Sistema operacional e servidor web com impressão digital;
6.3.40.2. Esconder qualquer mensagem de erro HTTP dos usuários;
6.3.40.3. Remover as mensagens de erro às páginas que serão enviadas aos usuários;
6.3.40.4. Permitir a utilização de uma página HTML informava e personalizável como HTTP Response aos bloqueios.

273

6.3.41. A solução deve possuir lista dinâmica de endereços IP globais com atividades maliciosas;

274

6.3.42. Deve ser possível verificar o endereço de origem do pacote IP no cabeçalho IP e no parâmetro X-forwarded-for (XFF);

275

6.3.43. Deve possuir, pelo menos, as seguintes categorias de endereços IP: Windows Exploits, Web Aacks, Botnets, Scanners, Denial of Service, Reputation, Phishing Proxy, Anonymous Proxy;

276

6.3.44. Proteger a aplicação Web contra robôs sofisticados através da combinação de desafios enviados ao browser do usuário e técnicas avançadas de análise comportamental;

277

6.3.45. A solução deve encriptar dados e credenciais na camada de aplicação, sem ter a necessidade de atualizar a aplicação;

278

6.3.46. Essas informações devem ser encriptadas para proteger o login e as credenciais dos usuários e com isso os dados da aplicação;

279

6.3.47. Deve aprender automaticamente o comportamento da aplicação e combinar o comportamento heurístico do tráfego com o stress do servidor de aplicação para determinar uma condição de DDoS;

280

6.3.48. Ao detectar uma condição de DDoS, assinaturas dinâmicas devem ser automaticamente criadas e implementadas em tempo real para proteção da aplicação.

281

6.3.49. Deve possuir uma proteção proava contra ataques automatizados por robôs e outras ferramentas de ataque;

282

6.3.50. Deve proteger informações sensíveis e confidenciais da interceptação por terceiros, através da criptografia de dados quando ainda no browser do usuário;

283

6.3.51. Deve proteger esses dados criptografados de malwares e keyloggers;

284

6.3.52. Deve possuir proteção contra-ataques DDoS, através da análise de comportamento de tráfego usando técnicas de análise de dados e Machine Learning;

285

6.3.53. Através da análise continua de carga e monitoração de saúde de servidores, deve ser possível identificar anomalias e migra-las;

286

6.3.54. Deve ajudar a prevenir contra ataques de Credential Stuffing, onde bases de credenciais expostas na Internet são usados para tentava de acesso de outras aplicações Web;

287

6.3.55. Deve suportar a criação de políticas por geo-localização, permitindo que o tráfego de determinado(s) País/Países seja(m) bloqueado(s);

288

6.3.56. Possuir mecanismo de aprendizado automático capaz de identificar todos os conteúdos das aplicações, incluindo URLs, parâmetros URLs, campos de formulários, o que se espera de cada campo (por de dado, tamanho de caracteres), cookies, arquivos XML e elementos XML;

289

6.3.57. O equipamento oferecido deverá possuir uma funcionalidade de criação automática de políticas, onde a política de segurança é criada e atualizada automaticamente baseando-se no tráfego real observado à aplicação;

290

6.3.58. O perfil aprendido de forma automatizada pode ser ajustado, editado ou bloqueado;

291

6.3.59. O equipamento oferecido deverá possuir proteção baseada em assinaturas para prover proteção contra ataques conhecidos. Deverá ser possível desabilitar algumas assinaturas específicas em determinados parâmetros, como uma exceção a regra;

292

6.3.60. As atualizações de assinaturas deverão passar por um período configurável de testes, onde nenhuma requisição que viole a assinatura será bloqueada, apenas informada no relatório. Este processo deve ser automatizado, não sendo necessário criar regras específicas a cada atualização de assinatura;

293

6.3.61. O equipamento oferecido deverá permitir o bloqueio de ataques DoS na camada 7, possuindo também a opção de apenas registrar o ataque, sem tomar nenhuma ação de bloqueio;

294

6.3.62. O equipamento oferecido deverá possuir as seguintes formas de detecção de ataques DoS na camada de aplicação:
6.3.62.1. Número de requisições por segundo enviados a uma URL específica;
6.3.62.2. Número de requisições por segundo enviados de um IP específico;
6.3.62.3. Detecção através de código executado no cliente com o objetivo de detectar interação humana ou comportamento de robôs (bots);
6.3.62.4. Número máximo de transações por segundo (TPS) de um determinado IP;
6.3.62.5. Aumento de um determinado percentual do número de transações por segundo (TPS);
6.3.62.6. Aumento do stress do servidor de aplicação;

295

6.3.63. O equipamento oferecido deverá permitir o bloqueio de ataques de força bruta de usuário/senha em páginas de acesso (login) que protegem áreas restritas. Este bloqueio deve limitar o número máximo de tentavas e o tempo do bloqueio deverá ser configurável;

296

6.3.64. O equipamento oferecido deverá permitir o bloqueio de determinados endereços IPs que ultrapassarem um número máximo de violações por minuto. O período de bloqueio deverá ser configurável e durante este período todas as requisições do cliente serão bloqueadas automaticamente;

297

6.3.65. O equipamento oferecido deverá permitir o bloqueio de robôs (bots) que acessam a aplicação através de detecção automática, não dependendo de cadastros manuais. Robôs conhecidos do mercado, como Google, Yahoo e Microsoft Bing deverão ser liberados por padrão;

298

6.3.66. O equipamento oferecido deverá permitir o cadastro de robôs que podem acessar a aplicação;

299

6.3.67. Possuir política de segurança de aplicações pré-configuradas no equipamento para, pelo menos, as seguintes aplicações:
6.3.67.1. Microsoft ActiveSync v1.0, v2.0;
6.3.67.2. Microsoft OWA in Exchange 2003, 2007, 2010;
6.3.67.3. Microsoft SharePoint 2003, 2007, 2010; 7.3.67.4.
6.3.67.4. Oracle 10g Portal;
6.3.67.5. Oracle Application 11i;
6.3.67.6. Oracle PeopleSoft Portal;

300

6.3.68. O equipamento oferecido deverá implementar proteção ao JSON (JavaScript Object Notation);

301

6.3.69. Possuir firewall XML integrado ? suporte a filtro e validação de funções XML específicas da aplicação;

302

6.3.70. Implementar a segurança de web services, através dos seguintes métodos:
6.3.70.1. Criptografar/Decriptografar partes das mensagens SOAP;
6.3.70.2. Assinar digitalmente partes das mensagens SOAP;
6.3.70.3. Verificação de partes das mensagens SOAP;

303

6.3.71. Prevenir o vazamento de informações, permitindo o bloqueio ou a remoção dos dados confidenciais;

304

6.3.72. Prevenir que erros de aplicação ou infraestrutura sejam mostrados ao usuário;

305

6.3.73. Deverá ter integração, via ICAP, com servidor de antivírus para verificação dos arquivos a serem carregados nos servidores;

306

6.3.74. Permitir o uso do parâmetro HTTP X-Forwarded-For como parte da política de controle;

307

6.3.75. Deverá proteger o protocolo FTP com, pelo menos, os seguintes métodos:
6.3.75.1. Determinar os comandos FTP permitidos;
6.3.75.2. Requests FTP anônimos;
6.3.75.3. Checar compliance com o protocolo FTP;
6.3.75.4. Proteger contra ataques de força bruta nos logins;

308

6.3.76. Deverá proteger o protocolo SMTP com, pelo menos, os seguintes métodos:
6.3.76.1. A comunicação deve ser aderente a RFC 2821;
6.3.76.2. Limitar o número de mensagens;
6.3.76.3. Validar registro SPF do DNS;
6.3.76.4. Determinar quais métodos SMTP podem ser utilizados;

309

6.3.77. Deverá armazenar os logs localmente ou exportar para Syslog server;

310

6.3.78. Deverá proteger contra atraques CSRF (Cross-Site Request Forgery), podendo ser possível especificar quais URLs serão examinadas;

311

6.3.79. Deverá possuir controle de fluxo por aplicação permindo definir o fluxo de acesso de uma URL para outra da mesma aplicação. Dessa forma qualquer tentava de acesso a um determinado site que não siga o fluxo passando pelas URLs pré-definidas deverá ser bloqueado como uma tentava de acesso ilegal.

312

6.3.80. A solução deve fornecer relatórios consolidados de ataques com, pelo menos, os seguintes dados: Resumo geral com as políticas ativas, anomalias e estatísticas de tráfego, Ataques DoS, Ataques de Força Bruta, Ataques de Robôs, Violações, URL, Endereços IP, Países, Severidade e PCI Compliance;

313

6.3.81. Deverá permitir o agendamento de relatórios a serem entregues por e-mail;

314

6.3.82. Fornecer os seguintes Gráficos de alertas por:
6.3.82.1. Política de segurança;
6.3.82.2. Tipos de ataques;
6.3.82.3. Violações;
6.3.82.4. URL;
6.3.82.5. Endereços IP;
6.3.82.6. Países;
6.3.82.7. Severidade;
6.3.82.8. Código de resposta;
6.3.82.9. Métodos;
6.3.82.10. Protocolos;
6.3.82.11. Vírus;
6.3.82.12. Usuário;
6.3.82.13. Sessão;

315

6.3.83. Deverá exportar as requisições que contém os ataques, pelo menos nos formatos PDF e binário;

316

6.3.84. Deve possuir relatório em tempo real sobre ataques DoS L7, atualizado automaticamente;

317

6.3.85. A solução deve mostrar o impacto de ataque DoS L7 na performance e memória do servidor;

318

6.3.86. Os logs devem indicar o momento de início e final de um ataque DoS L7;

319

6.3.87. Possuir método de migação de DoS L7 baseado em: CAPTCHA;

320

6.3.88. Descarte de todas as requisições de um determinado IP e/ou país suspeito;

321

6.3.89. Geolocalização, incluindo a prevenção com CAPTCHA para países suspeitos que ultrapassarem os thresholds;

322

6.3.90. Defesa proava contra Bot, através da injeção de um desafio JavaScript para detectar se é um usuário legítimo ou robô;

323

6.3.91. A solução deve permitir que ao detectar um falso positivo, o administrador aceite a requisição e atualize a política automaticamente;

324

6.3.92. A solução ao se integrar com um Scanner de vulnerabilidade deve mostrar quais vulnerabilidades podem ser resolvidas automaticamente (pela própria solução de WAF) e quais podem ser resolvidas manualmente, pelo próprio administrador. No caso de resolução manual, deve ainda mostrar um guia com os passos necessários para resolver aquela vulnerabilidade, inclusive com a avisos de possíveis consequências na aplicação Web;

325

6.3.93. A solução deve classificar o nível de violação de uma requisição, possuindo pelo menos 5 níveis, onde o nível 5 é referente a violação mais grave e portanto deve ter prioridade;

326

6.3.94. A solução deve possuir proteção de DDoS L7 baseado em análise comportamental, sem precisar de nenhuma configuração manual;

327

6.3.95. Suportar os protocolos HTTP/1.0, HTTP/1.1 e HTTP/2.0;

328

6.3.96. Suportar codificação HTML "application/x-www-form-urlencoded";

329

6.3.97. Suportar Cookies v0 e v1;

330

6.3.98. Suportar codificação fragmentada (chunked encoding) em requisições e respostas;

331

6.3.99. Suportar compressão de requisições e respostas;

332

6.3.100. Suportar validação de protocolo, como:
6.3.100.1. Possibilidade de restringir uso de métodos;
6.3.100.2. Possibilidade de restringir protocolos e versões de protocolos;
6.3.100.3. Strict (per-RFC) Request Validation;
6.3.100.4. Validar caracteres URL-encoded; e
6.3.100.5. Validação de codificação fora de padrão %uXXYY.

333

6.3.101. Suportar restrições de HTML, como:
6.3.101.1. Tamanho do nome de parâmetros;
6.3.101.2. Tamanho dos valores de parâmetros; e
6.3.101.3. Combinação de tamanho de parâmetros (nome e valores).

334

6.3.102. Suportar POST no upload de arquivo;

335

6.3.103. Permitir configurar ou oferecer restrições para tamanho individual de arquivo;

336

6.3.104. Permitir customizar a lógica na inspeção de upload de arquivos;

337

6.3.105. Suporte para os métodos Basic, Digest e NTLM para autencação.

338

6.3.106. Suporte para autenticação por back end por LDAP e Microsoft Active Directory;

339

6.3.107. Capacidade de filtrar cabeçalhos, corpo e status de respostas;

340

6.3.108. Suportar as seguintes técnicas de detecção:
6.3.108.1. URL-decoding;
6.3.108.2. Terminação Null Byte String;
6.3.108.3. Paths auto-referenciados;
6.3.108.4. Case de caracteres misturados;
6.3.108.5. Uso excessivo de espaços em branco;
6.3.108.6. Remoção de comentários;
6.3.108.7. Decodificação de entidades HTML; e
6.3.108.8. Caracteres de escape.

341

6.3.109. Possuir registro de logs com as seguintes características:
6.3.109.1. Em cada registro de log de acesso deve ser inserido um identificador de transação HTTP que deve ser único, envolvendo o par requisição/resposta;
6.3.109.2. Os registros de log de acesso e eventos devem ser armazenados em arquivo ou em banco de dados que permita a exportação ou em outro formato aberto como CSV ou TXT, podendo ainda serem armazenados localmente ou carregados (upload) em servidor de log via FTP ou SCP ou armazenados em servidor externo de banco de dados;
6.3.109.3. Permitir configurar a retenção dos logs por tempo e volume; e
6.3.109.4. Ter capacidade para detecção, remoção ou codificação de dados sensíveis do log.

342

6.3.110. A solução deverá gerar relatórios com as seguintes características:
6.3.110.1. Permitir a filtragem por data ou hora, endereço IP e por de incidente;
6.3.110.2. Permitir a geração de relatórios sob demanda ou pré-programados periodicamente (diário e semanal); e
6.3.110.3. Permitir a geração de relatórios em formatos PDF/A (versão aberta) e HTML.

343

6.3.111. Possuir as seguintes características de gerenciamento:
6.3.111.1. Facilidade para liberação de regras aprendidas automaticamente que estejam gerando grande quantidade de falso positivo;
6.3.111.2. Facilidade para transformar um ataque detectado e considerado falso positivo como regra do firewall;
6.3.111.3. Facilidade para aplicar diferentes regras para diversas aplicações;
6.3.111.4. Capacidade para customizar regras de negação de serviço;
6.3.111.5. Capacidade para combinar detecção e prevenção na construção das regras;
6.3.111.6. Capacidade para desfazer a aplicação de uma regra.

344

6.3.112. Possuir mecanismos que garantam a capacidade de gerenciamento do equipamento sob condições de alto tráfego;

345

6.3.113. A solução deve apresentar perfil de aprendizagem automática com:
6.3.113.1. Capacidade de aprendizagem automática sem intervenção humana; e
6.3.113.2. Capacidade de inspeção das regras criadas automaticamente.

346

6.3.114. Permitir o gerenciamento da configuração com as seguintes características:
6.3.114.1. Gerenciamento por autenticação dos usuários e as autorizações baseadas em perfis (roles); e
6.3.114.2. Capacidade de gerenciamento remoto dos equipamentos.

347

6.3.115. Apresentar logs e relatórios administrativos com as seguintes características:
6.3.115.1. Capacidade para identificar e notificar falhas do sistema ou perda de performance;
6.3.115.2. Capacidade de agregação de informações para simplificar a revisão das atividades do dispositivo; e
6.3.115.3. Capacidade para gerar estatísticas de serviço e sistema.

348

6.3.116. Possuir suporte a XML:
6.3.116.1. Para proteção de WebServices;
6.3.116.2. Em conformidade com a especificação WS-I básico; e
6.3.116.3. Com capacidade de restringir métodos do WebService via definição em WSDL.

349

6.3.117. Suportar funções de camuflagem (cloaking), como:
6.3.117.1. Esconder qualquer mensagem de erro hp dos usuários; e
6.3.117.2. Remover as mensagens de erro das páginas que serão enviadas aos usuários.

LOTE 2 ? ITEM 2 ? SERVIÇO DE INSTALAÇÃO, CONFIGURAÇÃO, SUPORTE TÉCNICO E GARANTIA POR 60 MESES - APPLIANCE FÍSICO

350

7.1. Os serviços de suporte técnico deverão contemplar as manutenções corretivas e evolutivas para a solução contratada e não poderão acarretar custos adicionais ao CONTRATANTE, além do contratado.

351

7.2. Entende-se por ?manutenção corretiva? uma série de procedimentos destinados a recolocar a solução em pleno estado de funcionamento, removendo definitivamente os defeitos apresentados.

352

7.3. Entende-se por ?manutenção evolutiva? o fornecimento de novas versões e/ ou releases corretivas e/ou evolutivas de softwares que compõem a solução corporativa do software, lançadas durante a vigência deste contrato.

353

7.4. Durante o período de vigência do contrato a CONTRATANTE terá direito, sem ônus adicional, a todas as atualizações de versão e releases dos softwares e firmwares que fazem parte da solução ofertada.

354

7.5. Compreende-se nesta etapa a instalação de equipamentos, sistemas, softwares e aplicativos da CONTRATANTE nos PRODUTOS fornecidos, bem como a migração das configurações existentes na CONTRATANTE para os PRODUTOS fornecidos pela CONTRATADA;

355

7.6. A etapa de instalação, configuração e migração deve acontecer de forma gradual e transparente, de acordo com a conveniência da CONTRATANTE;

356

7.7. Durante a etapa de instalação, configuração e migração, os PRODUTOS fornecidos pela CONTRATADA serão colocados em plena operação, em condições reais de produção;

357

7.8. Durante esta etapa, a equipe da CONTRATADA deverá estar presente, nos horários de testes, implantação e migração, definidos pela CONTRATANTE;

358

7.9. As atividades de instalação, configuração e migração, de acordo com a necessidade, poderão ser executadas em horário comercial, período noturno ou final de semana;

359

7.10. A CONTRATADA deve garantir que a migração não irá alterar o funcionamento dos serviços instalados na unidade objeto da migração, sem a prévia autorização da CONTRATANTE;

360

7.11. A CONTRATADA deverá, com a supervisão e aprovação da CONTRATANTE, planejar e realizar a instalação e configuração dos softwares com total interoperabilidade operacional com ambiente atual da CONTRATANTE, sem impacto no ambiente de produção;

361

7.12. Durante a implantação e integração, a CONTRATADA deverá realizar, entre outras atividades: instalação de softwares, acompanhamento de migrações de regras e políticas, elaboração e execução de scripts, análise de performance, tunning, resolução de problemas e implementação de segurança;

362

7.13. Para instalação, configuração e migração devem ser consideradas as seguintes premissas:

363

7.13.1. Caberá a CONTRATADA a disponibilização de todos os recursos necessários, tais como hardwares, softwares, recursos humanos necessários à instalação dos PRODUTOS;

364

7.13.2. Caberá CONTRATADA a disponibilização de ferramentas / scripts de retorno imediato ao estado original da estrutura da CONTRATADA caso a instalação e migração dos produtos / softwares da CONTRATADA apresente falha.

365

7.14. A CONTRATADA realizará adequação/configuração dos PRODUTOS fornecidos ao longo da etapa de migração e realização de novas configurações;

366

7.15. A CONTRATADA deverá fornecer todas as licenças necessárias dos PRODUTOS ofertados e dos elementos adicionais que se fizerem necessários à instalação/migração e ao pleno funcionamento do ambiente de produção.

367

7.16. Serviço de suporte técnico on-site

368

7.16.1. A assistência técnica em garantia poderá ser prestada pelo fabricante dos equipamentos ou empresa prestadora de serviços de assistência técnica devidamente credenciada pelo mesmo, porém, não exime a responsabilidade da empresa contratada sob o bem adquirido. Em razão das normas de garantia de serviços toda substituição, seja ela total ou parcial, deverá ser feita por técnico especializado, ficando o novo equipamento ou componente em perfeitas condições de uso e em conformidade com as especificações técnicas do fabricante.

369

7.16.2. A assistência técnica poderá ser on-site ou remoto, sob demanda, consistirá na manutenção corretiva de hardware e/ou software comunicados pela Agência Espacial Brasileira pela própria prestadora do serviço devendo cobrir todo e qualquer defeito apresentado, incluindo o fornecimento e a substituição de peças e/ou componentes, ajustes, reparos e demais correções necessárias.

370

7.16.3. O atendimento deverá ser prestado de acordo com a gravidade do problema, conforme previsto na Tabela de Prazos definido neste termo de referência. Sempre que for tecnicamente possível, a manutenção corretiva poderá ser prestada por meio de ação remota ou, quando for inviável a solução remota, a execução dos serviços deverá ocorrer on-site. Na manutenção corretiva deve ser obedecido o mesmo padrão de qualidade e nível tecnológico existente nos equipamentos.

371

7.16.4. Havendo necessidade de remoção de peças ou partes para oficina/laboratório, a Contratada deverá substituir a peça ou parte defeituosa por outra, provisoriamente, até que possa ser consertada e devolvida. Caso a peça não possa ser consertada, deverá ser substituída por outra igual ou superior, sem ônus para o Agência Espacial Brasileira.

372

7.16.5. O registro de solicitações de atendimento técnico presencial ocorrerá através de central de atendimento, por meio de ligação gratuita ou ligação local ao endereço de entrega, com funcionamento 24 (vinte e quatro) horas por dia e 7 (sete) dias por semana, sendo também aceitável o registro de solicitação de atendimento técnico presencial pela Internet em até 10 (dez) dias corridos após a assinatura do contrato.

373

7.16.6. A Contratada deverá indicar o endereço de Sistema de Abertura de Chamados, Correio eletrônico e o número telefônico para os atendimentos de assistência técnica. Durante a vigência do contrato, a CONTRATADA deverá comunicar à Agência Espacial Brasileira, imediatamente, quaisquer alterações nos meios de contato para os atendimentos de assistência técnica. 

374

7.17. Requisitos de Garantia Contratual e Manutenção Preventiva e Corretiva  

375

7.17.1. Somente será aceito que a CONTRATADA assuma a execução direta dos serviços de assistência técnica, caso possua credenciamento junto a fabricante, pertencendo a sua rede de assistência técnica autorizada, para que se mantenha em conformidade com normas de garantia.

376

7.17.2. Todo o processo de acompanhamento dos Chamados Técnicos deverá ser centralizado. O atendimento (internet ou telefone) deverá ser prestado em Português (Brasileiro). Para cada Chamado Técnico, deverá constar a data, hora e número de série do equipamento a ser atendido.

377

7.17.3. A garantia de funcionamento da solução ofertada deverá ser pelo período de 60 meses, contada a partir da data de emissão do Termo de Recebimento Definitivo do equipamento.

378

7.17.4. A CONTRATADA deverá permitir o registro de solicitações de atendimento técnico presencial, em regime de garantia, ou técnico à distância, durante todo o período da garantia.

379

7.17.5. As solicitações de atendimento técnico presencial partirão da gestão ou fiscalização contratual e deverão ser lançadas em registro próprio pela CONTRATADA.

380

7.17.6. Para cada solicitação de atendimento técnico presencial deverá ser gerado um identificador único e sequencial, para fins de controle e acompanhamento da solicitação.

381

7.17.7. O atendimento técnico presencial deverá ser provido 24 (vinte e quatro) horas por dia e sete dias por semana para os equipamentos e softwares instalados na CONTRATANTE.

382

7.17.8. O prazo máximo para que se inicie o atendimento técnico presencial na SEDE da CONTRATANTE, será de até 12 (doze) horas, contado a partir do momento em que for realizada a solicitação de atendimento técnico pela CONTRATANTE, de acordo com o Acordo de nível de serviço estabelecido.

383

7.17.9. Entende-se por término do atendimento técnico presencial a disponibilidade do equipamento para uso em perfeitas condições de funcionamento, na edificação onde estiver instalada, atestado pela CONTRATANTE.

384

7.17.10. O atendimento técnico presencial poderá envolver manutenção preventiva ou corretiva, com a substituição de peças, componentes e materiais, atualizações de BIOS, firmware e drivers, sem ônus adicional à CONTRATANTE.

385

7.17.11. Entende-se por manutenção preventiva aquela que é realizada periodicamente para evitar paradas e manter na solução em condições de trabalho normal, programada em comum acordo com a CONTRATANTE, de modo a evitar ao máximo a indisponibilidade dos equipamentos contratados.

386

7.17.12. Na realização da manutenção preventiva a CONTRATADA deverá realizar revisões, testes e adequações nas configurações e regras aplicadas nos equipamentos e nas ferramentas de gerenciamento de senhas, visando a garantir o melhor desempenho da solução CONTRATADA, assim como realizar a verificação de sobreposição e/ou inconsistência das regras de segurança. A CONTRATADA também deverá analisar as condições de instalação e acondicionamento do hardware com o objetivo de verificar se as condições físicas e ambientais estão adequadas para o bom funcionamento da solução.

387

7.17.13. Serão executadas manutenções preventivas sempre que solicitado pela CONTRATANTE coberto pelo regime de garantia.

388

7.17.14. Entende-se por manutenção corretiva uma série de procedimentos destinados a recolocar as soluções em seu perfeito estado de uso.

389

7.17.15. Ao final de cada atendimento técnico presencial, a CONTRATADA deverá apresentar ?Relatório de Atendimento? ou documento similar, contendo a data, hora de chamada, início e término do atendimento, identificação do problema, providencias adotadas e outras informações que sejam pertinentes, a ser assinada pela CONTRATANTE e pelo responsável pela manutenção.

390

7.17.16. A CONTRATADA também deverá prestar atendimento técnico à distância, por técnicos devidamente habilitados.

391

7.17.17. As solicitações de atendimento técnico à distância partirão igualmente da gestão ou fiscalização contratual e prescindem de lançamento em registro próprio pela CONTRATADA.  

392

7.17.18. A CONTRATADA deverá realizar o atendimento respeitando o nível de severidade e criticidade conforme os índices abaixo:    


Criticidade Descrição Prazo Máximo de Atendimento
Severidade 1 (Alta) Sistema parado ou produto inoperante com impacto nas operações críticas de negócio. Exemplos: Servidor de produção ou outro sistema inicial está inativo. Parte substancial dos dados essenciais corre risco de perda ou corrupção. Operações relacionadas ao negócio foram afetadas, falha que compromete a integridade geral do sistema ou dos dados. Em até 6 (seis) horas um técnico do fornecedor deve entrar em contato para realizar o atendimento, podendo ser de forma remota ou presencial.
Severidade 2 (Média) Alto impacto no ambiente de produção ou grande restrição de funcionalidade. Exemplo: Ocorreu um problema no qual um recurso importante foi gravemente danificado. As operações podem continuar de forma limitada, embora a produtividade em longo prazo possa ser afetada negativamente. O defeito não gera impacto ao negócio. Exemplo: Ocorreu um erro que causou impacto negativo limitado na operações. Em até 8 (oito) horas um técnico do fornecedor deve entrar em contato para realizar o atendimento, podendo ser de forma remota ou presencial.
Severidade 3 (Baixa) O problema é pequeno, de caráter preventivo e operacional. Exemplos: O problema não afetou as operações da contratante negativamente; Atualização preventiva de softwares e firmwares agendados. Encaminhamento de solicitações e ou sugestões para novos recursos ou aprimoramento e configuração do software licenciado. Em até 8 (oito) horas um técnico do fornecedor deve entrar em contato para realizar o atendimento, podendo ser de forma remota ou presencial.

 

LOTE 2 ? ITEM 3 - TREINAMENTO DA SOLUÇÃO

8.1. Treinamento da Solução

393

8.1.1. O treinamento deverá ser realizado no Brasil, em português, na modalidade presencial, em local fornecido pela CONTRATADA;

394

8.1.2. O local do treinamento deverá possuir todas as facilidades para um perfeito desempenho das atividades, incluindo os recursos áudio visuais e laboratórios necessários;

395

8.1.3. Caberá à CONTRATADA prover todos os recursos didáticos necessários à realização do treinamento, incluindo (mas não se restringindo a) sala de aula, data show, apostilas, bloco de anotações e caneta para cada treinando;

396

8.1.4. Deverá ser fornecido treinamento na solução adquirida de no mínimo 20 horas, para até 08 (oito) pessoas, designadas pela Contratante, em até 15 dias após o término da instalação, a fim de repassar as informações necessárias dos produtos adquiridos, incluindo detalhamento do produto e seus aspectos gerais de configuração e operação com instrutor certificado pela fabricante dos produtos para realizar os treinamentos, comprovado mediante apresentação de certificado expedido pela CONTRATADA da solução;

397

8.1.5. O treinamento deverá cobrir conhecimentos necessários para instalação, administração, configuração, otimização, resolução de problemas e utilização da solução;

398

8.1.6. A CONTRATADA deverá fornecer material didático individual, de maneira impressa ou digital;

399

8.1.7. O treinamento deverá englobar a realização de laboratórios práticos, fornecidos pela CONTRATADA, para configuração e execução de exercícios práticos na mesma versão dos produtos ofertados;

400

8.1.8. Os custos referentes ao deslocamento, hospedagem e alimentação dos instrutors serão de responsabilidade da CONTRATANTE;

401

8.1.9. Após a finalização do treinamento, a CONTRATADA, deverá emitir certificado individual de conclusão, para todos os participantes;

402

8.1.10. O certificado de conclusão deverá ser emitido em português brasileiro.

LOTE 3 ? ITEM 1 - SOLUÇÃO DE MONITORAMENTO, AUDITORIA E CRIPTOGRAFIA DE BANCO DE DADOS

403

9.1 A solução proposta deverá ter sido desenvolvida por um único fabricante de modo que tanto o suporte da solução, quanto as funcionalidades sejam integradas e 100% compatíveis;

404

9.2 Todo o gerenciamento dos componentes e funções administrativas devem ser feitas através de uma única interface web, acessível por navegador, sem a necessidade de instalação de aplicação adicionais;

405

9.3 A solução deve ser compatível e homologada para ser executada em máquinas virtuais VMware e Hyper-V;

406

9.4 A solução deverá ser entregue em formato de appliance virtual;

407

9.5 Não haverá necessidade do fornecimento de qualquer licença de produtos para VMware e Hyper-V. Toda a estrutura de virtualização será provida pela infraestrutura tecnológica da CONTRATANTE;

408

9.6 A ferramenta deverá permitir o monitoramento de 100% das transações realizadas nos Bancos de Dados em tempo real e sem impacto relevante no processamento do servidor de Banco de Dados;

409

9.7 A solução não deve depender dos logs nativos (audits) dos Bancos de Dados e não deve requerer qualquer alteração no banco de dados ou nos sistemas que os utilizam;

410

9.8 Permitir o monitoramento de tráfego via portas SPAN, redes TAPs e agentes executando no servidor de Banco de Dados, para permitir a melhor combinação desse ambiente. Qualquer que seja o método utilizado para captura das informações, a solução deverá garantir a captura de 100% das atividades executadas nos bancos de dados monitorados;

411

9.9 A solução deve permitir o monitoramento sem onerar recursos do Banco de Dados, evitando utilizar função de Banco de dados residente, que afetem a performance ou estabilidade do Gerenciador do Banco de Dados, tais como triggers, trace, log de transações ou níveis completos de auditorias nativas;

412

9.10 Permitir o monitoramento em tempo real de quaisquer manipulações de esquemas de Banco de Dados, como inserção ou remoção de tabelas ou colunas, reforçando o controle das políticas de mudanças;

413

9.11 Permitir que todos os dados coletados sejam armazenados em repositório centralizado que não poderá ser modificado por nenhum usuário ou administrador da solução, constituindo uma fonte de informações 100% (cem por cento) não repudiáveis para auditorias e análises forenses;

414

9.12 A solução deve ser capaz de integrar e exportar com facilidade informações de auditoria para outros sistemas de gerenciamento de segurança (ex.: SIEM);

415

9.13 Permitir que adicionalmente ao monitoramento de tráfego de rede, seja também oferecido um controle através de software do tipo agente que monitore todos os acessos ao Banco de Dados, mesmo quando realizados por usuários privilegiados localmente no servidor de Banco de Dados (acesso via shared memory);

416

9.14 A solução deve permitir a separação de direitos, permitindo separar funcionalidades de auditores e equipes de segurança;

417

9.15 A solução deve possuir uma central para o gerenciamento de todas as suas funcionalidades, relatórios e recursos disponibilizados;

418

9.16 Todos os componentes que fazem parte da estrutura da solução devem operar em alta disponibilidade e ser tolerante a falhas, operando sem interrupção dos serviços;

419

9.17 Deve permitir criptografar o arquivo do banco de dados de forma transparente, sem necessidade de alteração nas aplicações que utilizam o banco e nem na infraestrutura;

420

9.18 A solução de criptografia deve suportar servidores Microsoft Windows e Linux;

421

9.19 Deve realizar o gerenciamento da criptografia e das chaves criptográficas de forma centralizada;

422

9.20 Deve permitir separação de tarefas garantindo que um administrador não possa interferir nas funções de outro;

423

9.21 Deve permitir integração com soluções de HSM para gerenciamento das chaves criptográficas;

424

9.22 Deve permitir criar políticas relacionadas a criptografia contendo, no mínimo, as seguintes informações:
9.22.1 Usuários e grupos autorizados;
9.22.2 Processos do sistema operacional;
9.22.3 Intervalo de tempo de aplicação da política;
9.22.4 Ação a ser tomada pela política;

425

9.23 Deve permitir ativar uma política em modo de aprendizado para fins de testes;

426

9.24 Deve permitir assinar os arquivos e diretórios que serão utilizados nas políticas de criptografia;

427

9.25 Deve permitir integração com Active Directory e OpenLDAP para definição dos usuários administradores da solução de criptografia;

428

9.26 Deve possuir os seguintes relatórios de segurança de criptografia:
9.26.1 Chaves;
9.26.2 Políticas;
9.26.3 Certificados;
9.26.4 Diretórios criptografados;
9.26.5 Uso de licenças;

429

9.27 Deve permitir a utilização de autoridade certificadora externa para a solução de criptografia;

430

9.28 Deve garantir que os usuários administradores não consigam acessar os dados em texto claro mesmo copiando os arquivos do banco de dados para outro servidor;

431

9.29 Deve gerar log de todas as tentativas de acesso aos arquivos criptografados do banco de dados;

432

9.30 A solução deve possuir certificação FIPS 140-2 Level 1;

433

9.31 Deve suportar múltiplos fatores de autenticação;

434

9.32 Deve suportar REST API;

435

9.33 Deve suportar criptografia de bases de dados de Big Data como Hadoop, Teradata e NoSQL;

436

9.34 Deve suportar criptografia para servidores locais e em nuvens como AWS e Azure;

437

9.35 A solução de criptografia deve suportar ser executada em ambientes VMWare, Hyper-V e KVM;

438

9.36 Deve suportar Full Disk Encryption;

439

9.37 A solução de criptografia deve utilizar chave simétrica AES-256;

440

9.38 A solução deve permitir integração com soluções de SIEM;

441

9.39 Deve permitir rotação das chaves criptográficas sem parada para o ambiente;

442

9.40 Não serão aceitas soluções que necessitem de appliance físico (hardware);

443

9.41 A solução deve possuir a capacidade de balanceamento de carga automatizado, caso um servidor coletor de informações fique sobrecarregado;

444

9.42 Possibilitar proteger dados sensíveis e privados armazenados nos Bancos de Dados, através de bloqueio parametrizável dos acessos indesejados;

445

9.43 Permitir a criação de trilha granular de informações para auditoria de todas as atividades realizadas em Banco de Dados. Incluindo informações como: Quem, O que, Quando, Onde e Como, de cada transação realizada;

446

9.44 A solução deve permitir o monitoramento, registro e controle de acesso para comandos DDL (Data Definition Language), DML (Data Manipulation Language) e DCL (Data Control Language) realizados em Banco de Dados, mantendo registro granular centralizado;

447

9.45 A solução deve possuir a capacidade de monitorar e aplicar políticas para usuário privilegiados (ex.: DBAs);

448

9.46 Permitir a identificação dos usuários/acessos através de inúmeras informações incluindo o user-name, OS user-name (domain login), MAC address, hostname e endereço IP;

449

9.47 A solução deve possuir a capacidade de rescrever dinamicamente um SQL para mascarar ou restringir os dados retornados sem que precise executar comandos de alterações nas bases de dados ou schemas;

450

9.48 A solução deve oferecer componente que permita a localização e classificação de informações sensíveis nos Bancos de Dados;

451

9.49 A solução deve possuir a capacidade de mascarar ou descaracterizar a exibição dos dados solicitados ao banco de dados, seja por aplicação ou query diretamente no banco, de acordo com o perfil de cada usuário;

452

9.50 Capturar e reportar quais são os usuários do banco de dados e quais são suas permissões;

453

9.51 A solução deve permitir realizar varredura em Bancos de Dados, para identificar e reportar vulnerabilidades baseadas em CVE?s;

454

9.52 A solução deve tratar as vulnerabilidades e ser capaz de apresentar um relatório detalhando as origens das vulnerabilidades, suas características, quantificá-las e sugerir correções para serem aplicadas e/ou procedimentos que devem ser alterados;

455

9.53 A análise de vulnerabilidades deve ser capaz de combinar análises de configuração de banco, análises de configuração de Sistema Operacional e análise de padrões de acesso observados no banco de dados;

456

9.54 Os resultados das análises de vulnerabilidades devem ser armazenados em bases da dados para consultas futuras;

457

9.55 A solução deve ser capaz de apresentar em um relatório centralizado, a evolução de diferentes análises de vulnerabilidades realizadas;

458

9.56 A solução deverá permitir a execução das análises de vulnerabilidade sem alterações em sistemas ou Bancos de Dados;

459

9.57 Nas análises de vulnerabilidade devem ser considerados patches de segurança não instalados, privilégios, configurações, versões, comportamentos, permissões e demais vulnerabilidades recomendadas pelas melhores práticas de mercado;

460

9.58 Permitir que as vulnerabilidades apontadas sejam tratadas por ferramenta de fluxo de trabalho (workflow) para distribuição dos relatórios e recomendações;

461

9.59 Disponibilizar relatórios pré-configurados para auditoria e compliance, contemplado templates para regulamentações de segurança;

462

9.60 Permitir a customização dos relatórios existentes de forma simples, através de processo ?arrastar e soltar? combinando colunas e diferentes filtros de pesquisa;

463

9.61 Possibilitar a apresentação dos relatórios em forma de gráfico;

464

9.62 Permitir a configuração de alertas a partir de eventos não autorizados no ambiente de dados (arquivos e banco de dados) integráveis com syslog, email, snmp, além de possuir seu próprio dashboard de alarmes;

465

9.63 Possuir algoritmos para detecção de anomalias no ambiente de dados através de conhecimento do funcionamento normal do ambiente e identificação do comportamento fora do padrão por parte de usuários, possibilitando a visualização de forma gráfica de tais eventos;

466

9.64 Oferecer impacto mínimo de degradação nos servidores de banco de dados monitorados, sendo aceitável o máximo de 5% (cinco por cento) do processamento agregado do servidor, aferidos a partir das próprias ferramentas e utilitários de medição de processos residentes no sistema operacional de cada servidor;

467

9.65 Possibilitar a gestão da volumetria dos dados armazenados pelo produto, disponibilizando rotinas para execução de backup e archive de modo criptografado;

468

9.66 Possuir sistema de autenticação integrado com serviço de diretório padrão de mercado como por exemplo LDAP, OPENLDAP, Microsoft Active Directory, etc;

469

9.67 Permitir integração com ferramenta ITSM de gerenciamento de serviços e incidentes de TI;

470

9.68 A solução deve ser compatível, no mínimo, com os seguintes sistemas de gerenciamento de banco de dados (SGBD):
9.68.1 PostgreSQL versão 8 e superior;
9.68.2 Oracle versão 11g e superior;
9.68.3 SQL Server versão 2012, 2014 e superior;
9.68.4 MySQL versão 5 e superior.

LOTE 3 ? ITEM 2 ? SERVIÇO DE INSTALAÇÃO, CONFIGURAÇÃO SUPORTE TÉCNICO E GARANTIA PELO PERÍODO DE 60 MESES

471

10.1 Os serviços de suporte técnico deverão contemplar as manutenções corretivas e evolutivas para a solução contratada e não poderão acarretar custos adicionais ao CONTRATANTE, além do contratado.

472

10.2 Entende-se por ?manutenção corretiva? uma série de procedimentos destinados a recolocar a solução em pleno estado de funcionamento, removendo definitivamente os defeitos apresentados.

473

10.3 Entende-se por ?manutenção evolutiva? o fornecimento de novas versões e/ ou releases corretivas e/ou evolutivas de softwares que compõem a solução corporativa do software, lançadas durante a vigência deste contrato.

474

10.4 Durante o período de vigência do contrato o CONTRATANTE terá direito, sem ônus adicional, a todas as atualizações de versão e releases dos softwares e firmwares que fazem parte da solução ofertada.

475

10.5 Compreende-se nesta etapa a instalação de equipamentos, sistemas, softwares e aplicativos da CONTRATANTE nos PRODUTOS fornecidos, bem como a migração das configurações existentes na CONTRATANTE para os PRODUTOS fornecidos pela CONTRATADA;

476

10.6 A etapa de instalação, configuração e migração deve acontecer de forma gradual e transparente, de acordo com a conveniência da CONTRATANTE;

477

10.7 Durante a etapa de instalação, configuração e migração, os PRODUTOS fornecidos pela CONTRATADA serão colocados em plena operação, em condições reais de produção;

478

10.8 Durante esta etapa, a equipe da CONTRATADA deverá estar presente, nos horários de testes, implantação e migração, definidos pela CONTRATANTE;

479

10.9 As atividades de instalação, configuração e migração, de acordo com a necessidade, poderão ser executadas em horário comercial, período noturno ou final de semana;

480

10.10 A CONTRATADA deve garantir que a migração não irá alterar o funcionamento dos serviços instalados na unidade objeto da migração, sem a prévia autorização da CONTRATANTE;

481

10.11 A CONTRATADA deverá, com a supervisão e aprovação da CONTRATANTE, planejar e realizar a instalação e configuração dos softwares com total interoperabilidade operacional com ambiente atual da CONTRATANTE, sem impacto no ambiente de produção;

482

10.12 Durante a implantação e integração, a CONTRATADA deverá realizar, entre outras atividades: instalação de softwares, acompanhamento de migrações de regras e políticas, elaboração e execução de scripts, análise de performance, tunning, resolução de problemas e implementação de segurança;

483

10.13 Para instalação, configuração e migração devem ser consideradas as seguintes premissas:

484

10.13.1 Caberá a CONTRATADA a disponibilização de todos os recursos necessários, tais como hardwares, softwares, recursos humanos necessários à instalação dos PRODUTOS;

485

10.13.2 Caberá CONTRATADA a disponibilização de ferramentas / scripts de retorno imediato ao estado original da estrutura da CONTRATADA caso a instalação e migração dos produtos / softwares da CONTRATADA apresente falha.

486

10.14 A CONTRATADA realizará adequação/configuração dos PRODUTOS fornecidos ao longo da etapa de migração e realização de novas configurações;

487

10.15 4 A CONTRATADA deverá fornecer todas as licenças necessárias dos PRODUTOS ofertados e dos elementos adicionais que se fizerem necessários à instalação/migração e ao pleno funcionamento do ambiente de produção.

488

10.16 Serviço de suporte técnico on-site

489

10.16.1 O atendimento para solução ofertada será do tipo telefônico, 24 (vinte e quatro) horas por dia e 7 (sete) dias por semana. Deverá ser realizado por profissionais especializados e deverá cobrir todo e qualquer defeito apresentado;

490

10.16.2 O tempo para o atendimento inicial de suporte a solução será de 2 (duas) horas, após a abertura do chamado, e o prazo máximo para solução deverá ser de 10 (dez) dias corridos, contados da abertura do chamado, desde que a falha não comprometa o funcionamento da solução.

491

10.17 Requisitos de Garantia e Manutenção

492

10.17.1 A garantia de funcionamento da solução ofertada deverá ser pelo período de 60 meses, contada a partir da data de emissão do Termo de Recebimento Definitivo do equipamento.

493

10.17.2 A CONTRATADA deverá permitir o registro de solicitações de atendimento técnico presencial, em regime de garantia, ou técnico à distância, durante todo o período da garantia.

494

10.17.3 O registro de solicitações de atendimento técnico presencial ocorrerá através de central de atendimento, por meio de ligação gratuita ou ligação local ao endereço de entrega, com funcionamento 24 (vinte e quatro) horas por dia e 7(sete) dias por semana, sendo também aceitável o registro de solicitação de atendimento técnico presencial pela Internet.

495

10.17.4 Caso a CONTRATADA não possua central de atendimento por telefone para registro de solicitações atendimento técnico presencial, deverá disponibilizar outro número que permita o registro das solicitações, disponível 24 (vinte e quatro) horas por dia e sete dias por semana.

496

10.17.5 As solicitações de atendimento técnico presencial partirão da gestão ou fiscalização contratual e deverão ser lançadas em registro próprio pela CONTRATADA.

497

10.17.6 Para cada solicitação de atendimento técnico presencial deverá ser gerado um identificador único e sequencial, para fins de controle e acompanhamento da solicitação.

498

10.17.7 O atendimento técnico presencial deverá ser provido 24 (vinte e quatro) horas por dia e sete dias por semana para os equipamentos e softwares instalados na CONTRATANTE.

499

10.17.8 O prazo máximo para que se inicie o atendimento técnico presencial na SEDE da CONTRATANTE, será de até 8 (oito) horas, contado a partir do momento em que for realizada a solicitação de atendimento técnico pela CONTRATANTE, de acordo com o Acordo de nível de serviço estabelecido.

500

10.17.9 (*) Entende-se por início do atendimento técnico presencial o momento de chegada do técnico à edificação onde está instalada a solução.

501

10.17.10 (*) Entende-se por término do atendimento técnico presencial a disponibilidade do equipamento para uso em perfeitas condições de funcionamento, na edificação onde estiver instalada, atestado pela CONTRATANTE.

502

10.17.11 O atendimento técnico presencial poderá envolver manutenção preventiva ou corretiva, com a substituição de peças, componentes e materiais, atualizações de BIOS, firmware e drivers, sem ônus adicional à CONTRATANTE.

503

10.17.12 (*) Entende-se por manutenção preventiva aquela que é realizada periodicamente para evitar paradas e manter na solução em condições de trabalho normal, programada em comum acordo com a CONTRATANTE, de modo a evitar ao máximo a indisponibilidade dos equipamentos contratados.

504

10.17.13 Na realização da manutenção preventiva a CONTRATADA deverá realizar revisões, testes e adequações nas configurações e regras aplicadas nos equipamentos e nas ferramentas de gerenciamento de senhas, visando a garantir o melhor desempenho da solução CONTRATADA, assim como realizar a verificação de sobreposição e/ou inconsistência das regras de segurança. A CONTRATADA também deverá analisar as condições de instalação e acondicionamento do hardware com o objetivo de verificar se as condições físicas e ambientais estão adequadas para o bom funcionamento da solução

505

10.17.14 Serão executadas até 4 (quatro) manutenções preventivas a cada ano do período coberto pelo regime de garantia.

506

10.17.15 As manutenções preventivas serão realizadas exclusivamente em Brasília/DF.

507

10.17.16 (*) Entende-se por manutenção corretiva a série de procedimentos destinados a recolocar as soluções em seu perfeito estado de uso.

508

10.17.17 O tempo máximo de paralisação tolerável dos equipamentos e softwares é de até 24 (vinte e quatro) horas, contado a partir do momento em que for realizada a solicitação de atendimento técnico pela CONTRATANTE, desde que a falha não comprometa a disponibilidade da solução (falha simultânea em ambos os nós do cluster) quando instalado em configuração de alta disponibilidade.

509

10.17.18 Ao final de cada atendimento técnico presencial, a CONTRATADA deverá apresentar ?Relatório de Atendimento? ou documento similar, contendo a data, hora de chamada, início e término do atendimento, identificação do problema, providencias adotadas e outras informações que sejam pertinentes, a ser assinada pela CONTRATANTE e pelo responsável pela manutenção.

510

10.17.19 A CONTRATADA também deverá prestar atendimento técnico à distância, por técnicos devidamente habilitados.

511

10.17.20 O atendimento técnico à distância ocorrer. através de central, acionada por meio de ligação gratuita ou ligação local, com funcionamento das 24(vinte e quatro) horas por dia, 7 (sete) dias por semana, todos os dias do ano, inclusive sábados, domingos e feriados, com início de atendimento e prazo de solução de acordo com o nível de severidade exigido para o caso, sendo também aceitável o encaminhamento de solicitações por e-mail ou por chamadas para telefones móveis.

512

10.17.21 As solicitações de atendimento técnico à distância partirão igualmente da gestão ou fiscalização contratual e prescindem de lançamento em registro próprio pela CONTRATADA.

513

10.18 A CONTRATADA deverá realizar o atendimento respeitando o nível de severidade e criticidade conforme os índices abaixo:

Criticidade Descrição Prazo Máximo de Atendimento
Severidade 1 (Alta) Sistema parado ou produto inoperante com impacto nas operações críticas de negócio. Exemplos: Servidor de produção ou outro sistema inicial está inativo. Parte substancial dos dados essenciais corre risco de perda ou corrupção. Operações relacionadas ao negócio foram afetadas, falha que compromete a integridade geral do sistema ou dos dados. Em até 6 (seis) horas um técnico do fornecedor deve entrar em contato para realizar o atendimento, podendo ser de forma remota ou presencial.
Severidade 2 (Média) Alto impacto no ambiente de produção ou grande restrição de funcionalidade. Exemplo: Ocorreu um problema no qual um recurso importante foi gravemente danificado. As operações podem continuar de forma limitada, embora a produtividade em longo prazo possa ser afetada negativamente. O defeito não gera impacto ao negócio. Exemplo: Ocorreu um erro que causou impacto negativo limitado na operações. Em até 8 (oito) horas um técnico do fornecedor deve entrar em contato para realizar o atendimento, podendo ser de forma remota ou presencial.
Severidade 3 (Baixa) O problema é pequeno, de caráter preventivo e operacional. Exemplos:
O problema não afetou as operações da contratante negativamente;
Atualização preventiva de softwares e firmwares agendados.
Encaminhamento de solicitações e ou sugestões para novos recursos ou aprimoramento e configuração do software licenciado.
Em até 8 (oito) horas um técnico do fornecedor deve entrar em contato para realizar o atendimento, podendo ser de forma remota ou presencial.

LOTE 3 ? ITEM 3 - TREINAMENTO DA SOLUÇÃO

514

11.1.1. O treinamento deverá ser realizado no Brasil, em português, na modalidade presencial, em local fornecido pela CONTRATADA;

515

11.1.2. O local do treinamento deverá possuir todas as facilidades para um perfeito desempenho das atividades, incluindo os recursos áudio visuais e laboratórios necessários;

516

11.1.3. Caberá à CONTRATADA prover todos os recursos didáticos necessários à realização do treinamento, incluindo (mas não se restringindo a) sala de aula, data show, apostilas, bloco de anotações e caneta para cada treinando;

517

11.1.4. Deverá ser fornecido treinamento na solução adquirida de no mínimo 20 horas, para até 08 (oito) pessoas, designadas pela Contratante, em até 15 dias após o término da instalação, a fim de repassar as informações necessárias dos produtos adquiridos, incluindo detalhamento do produto e seus aspectos gerais de configuração e operação com instrutor certificado pela fabricante dos produtos para realizar os treinamentos, comprovado mediante apresentação de certificado expedido pela CONTRATADA da solução;

518

11.1.5. O treinamento deverá cobrir conhecimentos necessários para instalação, administração, configuração, otimização, resolução de problemas e utilização da solução;

519

11.1.6. A CONTRATADA deverá fornecer material didático individual, de maneira impressa ou digital;

520

11.1.7. O treinamento deverá englobar a realização de laboratórios práticos, fornecidos pela CONTRATADA, para configuração e execução de exercícios práticos na mesma versão dos produtos ofertados;

521

11.1.8. Os custos referentes ao deslocamento, hospedagem e alimentação dos instrutores serão de responsabilidade da CONTRATANTE;

522

11.1.9. Após a finalização do treinamento, a CONTRATADA, deverá emitir certificado individual de conclusão, para todos os participantes;

523

11.1.10. O certificado de conclusão deverá ser emitido em português brasileiro.

LOTE 4 ? ITEM 1 - SOLUÇÃO DE GESTÃO E ANÁLISE DE VULNERABILIDADES

524

12.1 A solução deve ser capaz de realizar varreduras (scans) de vulnerabilidades, avaliação de configuração e conformidade (baseline e compliance) e indícios e padrões de códigos maliciosos conhecidos (malware);

525

12.2 Toda a plataforma de gerenciamento da solução de gestão de vulnerabilidades deverá ser instalada nas dependências do cliente e deverá ser compatível para instalação nos seguintes sistemas operacionais:
12.2.1 Red Hat Enterprise Linux 6; 12.2.2 Red Hat Enterprise Linux 7;
12.2.3 CentOS 6, 64-bit; 12.2.4 CENTOS 7, 64-bit

526

12.3 A solução de gestão de vulnerabilidades e auditoria de configurações de ativos de rede deve estar licenciada para, no mínimo, 500 endereços IP;

527

12.4 A solução de análise dinâmica em aplicações WEB deve estar licenciada para, no mínimo, 50 domínios;

528

12.5 A solução deve possuir recurso de varredura ativa, onde o scanner comunica-se com os alvos (ativos) através da rede;

529

12.6 A solução deve ser licenciada para no mínimo 50 scanners ativos;

530

12.7 A solução deve ser licenciada para o uso de no mínimo 50 sensores passivos de rede para realizar o monitoramento em tempo real;

531

12.8 Deve possibilitar, por meio da console, no mínimo 3 (três) métodos de escaneamento:
12.8.1 Scan ativo;
12.8.2 Scan com uso de agentes;
12.8.3 Scan passivo;

532

12.9 Deve atribuir a todas as vulnerabilidades uma severidade baseada no CVSSv2 score;

533

12.10 Deve ser capaz de identificar no minímo 55.000 CVE´S;

534

12.11 A solução deve possuir um sistema de pontuação e priorização das vulnerabilidades;

535

12.12 O algoritmo de priorização deve analisar todas as vulnerabilidades presentes na National Vulnerability Database (NVD);

536

12.13 A solução deve ser capaz de aplicar algoritimos de inteligência artificial (Machine learning) para analisar mais de 120 características relacionadas a vulnerabilidades;

537

12.14 Deve possuir mecanismo de priorização dinâmico baseado em algoritmos de inteligência artificial;

538

12.15 O sistema de pontuação e priorização de vulnerabilidades deve avaliar no mínimo as seguintes características:
12.15.1 CVSSv3 Impact Score;
12.15.2 Idade da Vulnerabilidade;
12.15.3 Número de produtos afetados pela vulnerabilidade;
12.15.4 Intensidade baseada no número e frequência de ameaças que utilizaram a vulnerabilidade ao longo do tempo;
12.15.5 Lista de todas as fontes (canais de mídia social, dark web etc.) em que ocorreram eventos de ameaças relacionados a vulnerabilidade;

539

12.16 Deve possuir uma API abrangente para automação de processos e integração com aplicações terceiras;

540

12.17 A solução deve ser capaz de integrar com soluções de gestão de acessos privilegiados (PAM);

541

12.18 Deve ser capaz de calcular a criticidade dos ativos da organização;

542

12.19 A solução deve incluir a capacidade de programar períodos de tempo e data onde varreduras não podem ser executadas, como por exemplo em determinados dias do mês ou determinados horários do dia;

543

12.20 No caso onde uma atividade de varredura seja interrompida por invadir o período não permitido, o mesmo deve ser capaz de ser reiniciado de onde parou;

544

12.21 A solução deve ser capaz de produzir relatórios nos seguintes formatos: PDF, CSV e HTML;

545

12.22 A solução deve ser PCI ASV (Approved Scanning Vendor);

546

12.23 A solução deve ser capaz de identificar novos hosts no ambiente sem a necessidade de um scan;

547

12.24 Deve realizar em tempo real a identificação de informações sensíveis no tráfego de rede do ambiente;

548

12.25 A solução deve ser capaz de identificar a comunicação de malwares na rede de forma passiva;

549

12.26 Deve ser capaz de executar relatórios manuais e periódicos de acordo com a frequência estabelecida pelo administrador;

550

12.27 Deve suportar a criação de relatórios criptografados (protegidos por senha configurável);

551

12.28 A solução deve suportar o envio automático de relatórios para destinatários específicos;

552

12.29 Permitir especificar níveis de permissão nos relatórios para usuários e grupos específicos;

553

12.30 A solução deve possuir dashboards customizáveis onde o administrador pode deletar, editar ou criar painéis de acordo com a necessidade;

554

12.31 A solução deve realizar varreduras em uma variedade de sistemas operacionais, incluindo no mínimo Windows, Linux e Mac OS, bem como appliances virtuais;

555

12.32 A solução deve ser instalada no ambiente de rede local da CONTRATANTE, não sendo permitida a utilização em nuvem;

556

12.33 A solução deve fornecer agentes instaláveis em sistemas operacionais distintos para monitoramento contínuo de configurações e vulnerabilidades;

557

12.34 A solução deve ser capaz de realizar auditoria de conformidade sem a necessidade de agente instalado no dispositivo de destino;

558

12.35 A solução deve fornecer benchmarks de auditoria de segurança e configuração para conformidade regulatória e outros padrões de práticas recomendadas pela área ou fabricantes;

559

12.36 A solução deve fornecer auditoria de programas antivírus para determinação de presença e status de inicialização para no mínimo os seguintes produtos: TrendMicro Office Scan, McAfee VirusScan, Microsoft Endpoint Protection e Kaspersky;

560

12.37 A solução deve fornecer auditorias de configuração com base benchmarks em CIS (Center for Internet Security) L1 e L2, para ambos sistemas operacionais Microsoft Windows e Linux;

561

12.38 A solução deve realizar varreduras de vulnerabilidades em aplicações Web, cobrindo no mínimo, mas não limitando-se a base de ameaças apontadas pelo OWASP Top 10;

562

12.39 A solução deve ser capaz de analisar, testar e reportar falhas de segurança em aplicações Web como parte dos ativos a serem inspecionados;

563

12.40 A solução deverá ser capaz de executar varreduras em sistemas web através de seus endereços IP ou FQDN (DNS);

564

12.41 Deverá também permitir somente a execução da função crawler, que consiste na navegação para descoberta das URLs existentes na aplicação;

565

12.42 Deve ser capaz de utilizar scripts customizados de crawl com parâmetros definidos pelo usuário;

566

12.43 Deve ser capaz de excluir determinadas URLs da varredura através de expressões regulares;

567

12.44 Deverá ser compatível com avaliação de web services REST e SOAP;

568

12.45 Os resultados devem ser apresentados agregados por vulnerabilidades ou por aplicações;

569

12.46 Para cada vulnerabilidade encontrada, deve ser exibido detalhes e evidências;

570

12.47 Cada vulnerabilidade encontrada deve conter também soluções propostas para mitigação ou remediação;

571

12.48 A solução deve agrupar as informações encontrados no ambiente de forma automática para no minímo:
12.48.1 Sumário de Ativos;
12.48.2 Sumário por CVE;
12.48.3 Sumário por Vulnerabilidade;
12.48.4 Sumário por protocolo;
12.48.5 Sumário por Boletins Microsoft;
12.48.6 Sumários por IP;
12.48.7 Sumário por nome DNS;
12.48.8 Lista de todos os sistemas operacionais encontrados;
12.48.9 Lista com todos os softwares encontrados;
12.48.10 Lista com todos os serviços;
12.48.12 Lista de Web Servers;

572

12.49 A solução deve possuir relatórios pré configurados com as seguintes informações:
12.49.1 Hosts verificados sem credenciais;
12.49.2 Top 100 Vulnerabilidades mais critícas;
12.49.3 Top 10 Hosts infectados por Malwares;
12.49.4 Hosts exploráveis por Malwares;
12.49.5 Total de vulnerabilidades que podem ser exploradas pelo Metasploit;
12.49.6 Vulnerabilidades críticas e exploráveis;
12.49.7 Máquinas com vulnerabilidades que podem ser exploradas;
12.49.8 Relatório contendo um resumo geral de vulnerabilidades detectadas de forma passiva (Monitoramento passivo);
12.49.9 Relatório detalhando eventos com indicativos de intrusões na rede e vulnerabilidades que podem deixar a rede expostas a futuras invasões;
12.49.10 Informações sobre os hosts com maio número de vulnerabilidades contendo no mínimo as seguintes informações: IP, Nome Netbios, DNS, Sistema Operacional e MAC Address;
12.49.11 Relatório de requisitos recomendados pelo NIST SP 800-171;
12.49.12 Relatório contendo indicadores de conformidade com o NIST 800-53;
12.49.13 Relatório detalhado contendo informações sobre logs de aviso e erro identificados no ambiente;
2.49.14 Lista dos principais hosts e sistemas operacionais com patches de segurança ausentes;
12.49.15 Relatório com informações sobre vulnerabilidades críticas e exploráveis que foram detectadas na rede;
12.49.16 Os relatórios devem conter informações da vulnerabilidade, severidade, se existe um exploit disponível e informações do ativo.

573

12.50 Análise de dados do Ambiente
12.50.1 A solução deve gerar um score que combine dados de vulnerabilidades com a criticidade dos ativos do ambiente computacional;
12.50.2 O score deve ser gerado automaticamente por meio de algoritmos de inteligência artificial (Machine Learning) e deve calcular a probabilidade de exploração de uma determinada vulnerabilidade;
12.50.3 Deve ser capaz de calcular a criticidade dos ativos da organização;
12.50.4 A solução deve ser capaz de realizar um benchmark no ambiente da CONTRATANTE comparando sua maturidade com outras organizações do mesmo setor;
12.50.5 Deve fornecer uma lista com as principais recomendações para o ambiente com foco na redução da exposição cibernética da organização;
12.50.6 A solução deve gerar uma pontuação para cada um dos ativos onde é levado em conta as vulnerabilidades presentes naquele ativo assim como a classificação do ativo na rede (peso do ativo).
12.50.7 A solução deve gerar uma pontuação global referente a exposição cibernética da organização baseado nas pontuações de cada um dos ativos.
12.50.8 A solução deve oferecer uma capacidade de comparação (benchmarking) da pontuação referente a exposição cibernética com outros players da mesma indústria assim como outras empresas do mercado.
12.50.9 A solução deve permitir um acompanhamento histórico do nível de exposição da organização;
12.50.10 Permitir realizar alterações na classificação dos ativos (atribuição de pesos diferentes) podendo sobrescrever a classificação atribuída automaticamente pela solução.
12.50.11 A solução deve permitir a segregação lógica entre áreas distintas da empresa afim de obter a pontuação referente exposição cibernética por área.
12.50.12 Deve ser capaz de avaliar a maturidade do ambiente quanto as configurações utilizadas;

LOTE 4 ? ITEM 2 ? SERVIÇO DE INSTALAÇÃO, CONFIGURAÇÃO, SUPORTE TÉCNICO E GARANTIA PELO PERÍODO DE 60 MESES

574

13.1 Os serviços de suporte técnico deverão contemplar as manutenções corretivas e evolutivas para a solução contratada e não poderão acarretar custos adicionais ao CONTRATANTE, além do contratado.

575

13.2 Entende-se por ?manutenção corretiva? uma série de procedimentos destinados a recolocar a solução em pleno estado de funcionamento, removendo definitivamente os defeitos apresentados.

576

13.3 Entende-se por ?manutenção evolutiva? o fornecimento de novas versões e/ ou releases corretivas e/ou evolutivas de softwares que compõem a solução corporativa do software, lançadas durante a vigência deste contrato.

577

13.4 Durante o período de vigência do contrato o CONTRATANTE terá direito, sem ônus adicional, a todas as atualizações de versão e releases dos softwares e firmwares que fazem parte da solução ofertada.

578

13.5 Compreende-se nesta etapa a instalação de equipamentos, sistemas, softwares e aplicativos da CONTRATANTE nos PRODUTOS fornecidos, bem como a migração das configurações existentes na CONTRATANTE para os PRODUTOS fornecidos pela CONTRATADA;

579

13.6 A etapa de instalação, configuração e migração deve acontecer de forma gradual e transparente, de acordo com a conveniência da CONTRATANTE;

580

13.7 Durante a etapa de instalação, configuração e migração, os PRODUTOS fornecidos pela CONTRATADA serão colocados em plena operação, em condições reais de produção;

581

13.8 Durante esta etapa, a equipe da CONTRATADA a empresa deverá estar disponível, nos horários de testes, implantação e migração, definidos pela CONTRATANTE;

582

13.9 As atividades de instalação, configuração e migração, de acordo com a necessidade, poderão ser executadas em horário comercial, período noturno ou final de semana;

583

13.10 A CONTRATADA deve garantir que a migração não irá alterar o funcionamento dos serviços instalados na unidade objeto da migração, sem a prévia autorização da CONTRATANTE;

584

13.11 A CONTRATADA deverá, com a supervisão e aprovação da CONTRATANTE, planejar e realizar a instalação e configuração dos softwares com total interoperabilidade operacional com ambiente atual da CONTRATANTE, sem impacto no ambiente de produção;

585

13.12 Durante a implantação e integração, a CONTRATADA deverá realizar, entre outras atividades: instalação de softwares, acompanhamento de migrações de regras e políticas, elaboração e execução de scripts, análise de performance, tunning, resolução de problemas e implementação de segurança;

586

13.13 Para instalação, configuração e migração devem ser consideradas as seguintes premissas:

587

13.13.1 Caberá a CONTRATADA a disponibilização de todos os recursos necessários, tais como hardwares, softwares, recursos humanos necessários à instalação dos PRODUTOS;

588

13.13.2 Caberá CONTRATADA a disponibilização de ferramentas / scripts de retorno imediato ao estado original da estrutura da CONTRATADA caso a instalação e migração dos produtos / softwares da CONTRATADA apresente falha.

589

13.14 A CONTRATADA realizará adequação/configuração dos PRODUTOS fornecidos ao longo da etapa de migração e realização de novas configurações;

590

13.15 A CONTRATADA deverá fornecer todas as licenças necessárias dos PRODUTOS ofertados e dos elementos adicionais que se fizerem necessários à instalação/migração e ao pleno funcionamento do ambiente de produção.

591

13.16 Serviço de suporte técnico on-site

592

13.16.1 O atendimento para solução ofertada será do tipo telefônico, 24 (vinte e quatro) horas por dia e 7 (sete) dias por semana. Deverá ser realizado por profissionais especializados e deverá cobrir todo e qualquer defeito apresentado;

593

13.16.2 O tempo para o atendimento inicial de suporte a solução será de 2 (duas) horas, após a abertura do chamado, e o prazo máximo para solução deverá ser de 10 (dez) dias corridos, contados da abertura do chamado, desde que a falha não comprometa o funcionamento da solução.

594

13.17 Requisitos de Garantia e Manutenção

595

13.17.1 A garantia de funcionamento da solução ofertada deverá ser pelo período de 60 meses, contada a partir da data de emissão do Termo de Recebimento Definitivo do equipamento.

596

13.17.2 A CONTRATADA deverá permitir o registro de solicitações de atendimento técnico presencial, em regime de garantia, ou técnico à distância, durante todo o período da garantia.

597

13.17.3 O registro de solicitações de atendimento técnico presencial ocorrerá através de central de atendimento, por meio de ligação gratuita ou ligação local ao endereço de entrega, com funcionamento 24 (vinte e quatro) horas por dia e 7(sete) dias por semana, sendo também aceitável o registro de solicitação de atendimento técnico presencial pela Internet.

598

13.17.4 Caso a CONTRATADA não possua central de atendimento por telefone para registro de solicitações atendimento técnico presencial, deverá disponibilizar outro número que permita o registro das solicitações, disponível 24 (vinte e quatro) horas por dia e sete dias por semana.

599

13.17.5 As solicitações de atendimento técnico presencial partirão da gestão ou fiscalização contratual e deverão ser lançadas em registro próprio pela CONTRATADA.

600

13.17.6 Para cada solicitação de atendimento técnico presencial deverá ser gerado um identificador único e sequencial, para fins de controle e acompanhamento da solicitação.

601

13.17.7 O atendimento técnico presencial deverá ser provido 24 (vinte e quatro) horas por dia e sete dias por semana para os equipamentos e softwares instalados na CONTRATANTE.

602

13.17.8 O prazo máximo para que se inicie o atendimento técnico presencial na SEDE da CONTRATANTE, será de até 8 (oito) horas, contado a partir do momento em que for realizada a solicitação de atendimento técnico pela CONTRATANTE, de acordo com o Acordo de nível de serviço estabelecido.

603

13.17.9 (*) Entende-se por início do atendimento técnico presencial o momento de chegada do técnico à edificação onde está instalada a solução.

604

13.17.10 (*) Entende-se por término do atendimento técnico presencial a disponibilidade do equipamento para uso em perfeitas condições de funcionamento, na edificação onde estiver instalada, atestado pela CONTRATANTE.

605

13.17.11 O atendimento técnico presencial poderá envolver manutenção preventiva ou corretiva, com a substituição de peças, componentes e materiais, atualizações de BIOS, firmware e drivers, sem ônus adicional à CONTRATANTE.

606

13.17.12 (*) Entende-se por manutenção preventiva aquela que é realizada periodicamente para evitar paradas e manter na solução em condições de trabalho normal, programada em comum acordo com a CONTRATANTE, de modo a evitar ao máximo a indisponibilidade dos equipamentos contratados.

607

13.17.13 Na realização da manutenção preventiva a CONTRATADA deverá realizar revisões, testes e adequações nas configurações e regras aplicadas nos equipamentos e nas ferramentas de gerenciamento de senhas, visando a garantir o melhor desempenho da solução CONTRATADA, assim como realizar a verificação de sobreposição e/ou inconsistência das regras de segurança. A CONTRATADA também deverá analisar as condições de instalação e acondicionamento do hardware com o objetivo de verificar se as condições físicas e ambientais estão adequadas para o bom funcionamento da solução

608

13.17.14 Serão executadas até 4 (quatro) manutenções preventivas a cada ano do período coberto pelo regime de garantia.

609

13.17.15 As manutenções preventivas serão realizadas por acesso remoto.

610

13.17.16 (*) Entende-se por manutenção corretiva a série de procedimentos destinados a recolocar as soluções em seu perfeito estado de uso.

611

13.17.17 O tempo máximo de paralisação tolerável dos equipamentos e softwares é de até 24 (vinte e quatro) horas, contado a partir do momento em que for realizada a solicitação de atendimento técnico pela CONTRATANTE, desde que a falha não comprometa a disponibilidade da solução (falha simultânea em ambos os nós do cluster) quando instalado em configuração de alta disponibilidade.

612

13.17.18 Ao final de cada atendimento técnico presencial, a CONTRATADA deverá apresentar ?Relatório de Atendimento? ou documento similar, contendo a data, hora de chamada, início e término do atendimento, identificação do problema, providencias adotadas e outras informações que sejam pertinentes, a ser assinada pela CONTRATANTE e pelo responsável pela manutenção.

613

13.17.19 A CONTRATADA também deverá prestar atendimento técnico à distância, por técnicos devidamente habilitados.

614

13.17.20 O atendimento técnico deve ocorrer à distância através de central, acionada por meio de ligação gratuita ou ligação local, com funcionamento das 24(vinte e quatro) horas por dia, 7 (sete) dias por semana, todos os dias do ano, inclusive sábados, domingos e feriados, com início de atendimento e prazo de solução de acordo com o nível de severidade exigido para o caso, sendo também aceitável o encaminhamento de solicitações por e-mail ou por chamadas para telefones móveis.

615

13.18 As solicitações de atendimento técnico à distância partirão igualmente da gestão ou fiscalização contratual e prescindem de lançamento em registro próprio pela CONTRATADA.

616

13.19 A CONTRATADA deverá manter o serviço de suporte técnico, disponível para a abertura e acompanhamento de chamados em tempo integral, 24 (vinte e quatro) horas por dia, 7 (sete) dias por semana, todos os dias do ano, inclusive sábados, domingos e feriados, com início de atendimento e prazo de solução de acordo com o nível de severidade exigido para o caso, conforme os índices de criticidade abaixo:     

Criticidade Descrição Prazo Máximo de Atendimento
Severidade 1 (Alta) Sistema parado ou produto inoperante com impacto nas operações críticas de negócio. Exemplos: Servidor de produção ou outro sistema inicial está inativo. Parte substancial dos dados essenciais corre risco de perda ou corrupção. Operações relacionadas ao negócio foram afetadas, falha que compromete a integridade geral do sistema ou dos dados. Em até 6 (seis) horas um técnico do fornecedor deve entrar em contato para realizar o atendimento, podendo ser de forma remota ou presencial.
Severidade 2 (Média) Alto impacto no ambiente de produção ou grande restrição de funcionalidade. Exemplo: Ocorreu um problema no qual um recurso importante foi gravemente danificado. As operações podem continuar de forma limitada, embora a produtividade em longo prazo possa ser afetada negativamente. O defeito não gera impacto ao negócio. Exemplo: Ocorreu um erro que causou impacto negativo limitado na operações. Em até 8 (oito) horas um técnico do fornecedor deve entrar em contato para realizar o atendimento, podendo ser de forma remota ou presencial.
Severidade 3 (Baixa) O problema é pequeno, de caráter preventivo e operacional. Exemplos:
O problema não afetou as operações da contratante negativamente;
Atualização preventiva de softwares e firmwares agendados.
Encaminhamento de solicitações e ou sugestões para novos recursos ou aprimoramento e configuração do software licenciado.
Em até 8 (oito) horas um técnico do fornecedor deve entrar em contato para realizar o atendimento, podendo ser de forma remota ou presencial

LOTE 4 ? ITEM 3 - TREINAMENTO DA SOLUÇÃO

617

14.1. O treinamento deverá ser realizado no Brasil, em português, na modalidade presencial, em local fornecido pela CONTRATADA;

618

14.2. O local do treinamento deverá possuir todas as facilidades para um perfeito desempenho das atividades, incluindo os recursos áudio visuais e laboratórios necessários;

619

14.3. Caberá à CONTRATADA prover todos os recursos didáticos necessários à realização do treinamento, incluindo (mas não se restringindo a) sala de aula, data show, apostilas, bloco de anotações e caneta para cada treinando;

620

14.4. Deverá ser fornecido treinamento na solução adquirida de no mínimo 20 horas, para até 08 (oito) pessoas, designadas pela Contratante, em até 15 dias após o término da instalação, a fim de repassar as informações necessárias dos produtos adquiridos, incluindo detalhamento do produto e seus aspectos gerais de configuração e operação com instrutor certificado pela fabricante dos produtos para realizar os treinamentos, comprovado mediante apresentação de certificado expedido pela CONTRATADA da solução;

621

14.5. O treinamento deverá cobrir conhecimentos necessários para instalação, administração, configuração, otimização, resolução de problemas e utilização da solução;

622

14.6. A CONTRATADA deverá fornecer material didático individual, de maneira impressa ou digital;

623

14.7. O treinamento deverá englobar a realização de laboratórios práticos, fornecidos pela CONTRATANTE, para configuração e execução de exercícios práticos na mesma versão dos produtos ofertados;

624

14.8. Os custos referentes ao deslocamento, hospedagem e alimentação dos instrutores serão de responsabilidade da CONTRATANTE;

625

14.9. Após a finalização do treinamento, a CONTRATADA, deverá emitir certificado individual de conclusão, para todos os participantes;

626

14.10. O certificado de conclusão deverá ser emitido em português brasileiro.

LOTE 5 ? ITEM 1 - SOLUÇÃO DE AUDITORIA, GESTÃO, AUTOMAÇÃO, MONITORAÇÃO E GERENCIAMENTO DE SERVIÇOS DO MICROSOFT ACTIVE DIRECTORY

627

15.1 As funcionalidades descritas nas características gerais devem se aplicar à solução para os serviços de diretórios de usuários do Microsoft Active Directory, e deverão estar integradas na mesma plataforma e interface de monitoração dos demais repositórios de dados;

628

15.2 A solução descrita neste item deve possuir as seguintes funcionalidades globais:

629

15.2.1 Auditar ações sobre objetos do Active Directory;

630

15.2.2 Executar ações proativas com base na auditoria, inclusive para múltiplos objetos;

631

15.2.3 Gerar alerta com base nas informações auditadas;

632

15.2.4 Automatizar tarefas repetitivas, comum ou complexas;

633

15.2.5 Monitorar e analisar comportamentos suspeitos de usuários;

634

15.3 A solução deve efetuar as funcionalidades de permissionamento, Log, Relatórios e Análise Comportamental dos usuários nos servidores de diretórios de usuários Microsoft Active Directory, e deverão estar integradas na mesma plataforma e interface de monitoração dos demais repositórios de dados;

635

15.4 A solução deve possuir visibilidade da hierarquia do serviço de Diretórios de Usuários através de interface gráfica;

636

15.5 A solução deve possuir a visibilidade de todos os domínios, Unidades Organizacionais, Computadores, Grupos e outros objetos do domínio através de uma única interface gráfica e também em formato de relatório;

637

15.6 A solução deve suportar, em uma única instalação, a auditoria de diferentes domínios;

638

15.7 A solução deve ter trilha de auditoria classificável e pesquisável de todas as atividades do Active Directory em uma única interface gráfica e também em formato de relatório;

639

15.8 A solução deverá ser capaz rastrear quem fez alterações no Active Directory, qual foi a alteração feita e quando nesta mesma interface gráfica e em formato de relatório;

640

15.9 A solução deve suportar a auditoria dos seguintes eventos do Directory Service: Criação de deleção de dos objetos; Membros adicionados e removidos de grupos de segurança; Alteração nas propriedades do objeto do AD; Requisição de acesso; Autenticação de conta; Reset de senhas; Bloqueio e desbloqueio de conta; Criação e deleção de conta; Habilitação e desabilitação de conta; Permissão adicionada a objeto do AD, Permissão removida de objeto do AD, Proprietário alterado; Modificação de configuração de GPO; Criação de link de GPO; Deleção de link de GPO; Modificação de link de GPO.

641

15.10 Deverá ser possível o gerenciamento de objetos do AD. É necessário que os usuários administradores sejam capazes de realizar as seguintes ações através da interface gráfica da solução: Criar novos usuários; Criar novos grupos de segurança; Alterar parâmetros de usuários já existentes; Alterar membros de grupos de segurança; Excluir usuários; Excluir computadores; Reconfigurar senhas; Desbloquear usuários; Habilitar e desabilitar usuários;

642

15.11 Deve ser possível realizar as ações abaixo de uma só vez através da seleção de múltiplos usuários: Deleção; Reset de senha; Desbloqueio da conta; Habilitação e desabilitação;

643

15.12 A solução deve possuir visibilidade da hierarquia do serviço de Diretórios de Usuários através de interface gráfica;

644

15.13 A solução deve suportar a auditoria dos seguintes eventos do Directory Service:

645

15.13.1 Criação de deleção de dos objetos;

646

15.13.2 Membros adicionados e removidos de grupos de segurança;

647

15.13.3 Alteração nas propriedades do objeto do AD;

648

15.13.4 Requisição de acesso;

649

15.13.5 Autenticação de conta;

650

15.13.6 Reset de senhas;

651

15.13.7 Bloqueio e desbloqueio de conta;

652

15.13.8 Criação e deleção de conta;

653

15.13.9 Habilitação e desabilitação de conta;

654

15.13.10 Modificação de configuração de GPO;

655

15.13.11 Criação de link de GPO;

656

15.13.12 Deleção de link de GPO;

657

15.13.13 Modificação de link de GPO.

658

15.14 Deverá ser possível o gerenciamento de objetos do AD. É necessário que os usuários administradores sejam capazes de realizer as seguintes ações através da interface gráfica da solução: Criar novos usuários; Criar novos grupos de segurança; Alterar parâmetros de usuários já existentes; Alterar membros de grupos de segurança; Excluir usuários; Excluir computadores; Reconfigurar senhas; Desbloquear usuários; Habilitar e desabilitar usuários;

LOTE 5 ? ITEM 2 - SOLUÇÃO DE AUDITORIA, GESTÃO, AUTOMAÇÃO, MONITORAÇÃO DO MICROSOFT EXCHANGE SERVER

659

16.1 A solução deve efetuar as funcionalidades de visibilidade de permissionamento, log, relatórios, análise comportamental e alertas no Microsoft Exchange e deverão estar integradas na mesma plataforma e interface de monitoração dos demais repositórios de dados;

660

16.2 A ferramenta deverá realizar a coleta das informações sem a oneração excessiva do servidor de correio Microsoft Exchange, ou seja, sem ativação do journaling ou diagnostics nativos do servidor de correio;

661

16.3 O licenciamento deverá ser feito para as contas do Exchange on premise ou Exchange on line.

662

16.4 A solução deve permitir a definição de proprietário para as caixas postais;

663

16.5 A solução deve demonstrar graficamente diferença entre as caixas postais do Exchange OnLine e do Exchange on premise;

664

16.6 A ferramenta ofertada deverá coletar os seguintes eventos de auditoria do Exchange online: Logon; Pasta aberta; Pasta criada; Pasta deletada; Pasta renomeada; Permissão adicionada a pasta; Permissão removida de pasta; Permissões de pasta alteradas; Pasta movida; Mensagem criada; Mensagem apagada; Mensagem editada; Mensagem movida; Mensagem copiada; Mensagem enviada em nome de (On behalf of); Mensagem enviada como (send as);

665

16.7 A solução deve suportar os seguintes comandos PowerShell: Add-MailboxPermission; Remove-MailboxPermission; Add-MailboxFolderPermission; Remove-MailboxFolderPermission; Set-MailboxFolderPermission; Add-ADPermission; Remove-ADPermission;

666

16.8 A ferramenta ofertada deverá coletar os eventos dos servidores de email monitorados contemplando no mínimo os itens (Pasta aberta; Pasta criada; Pasta deletada; Pasta renomeada; Permissão adicionada a pasta; Permissão removida de pasta; Permissões de pasta alteradas; Pasta movida; Pasta esvaziada; Pasta copiada; Marcar todas com lida; Mensagem aberta; Mensagem enviada; Mensagem enviada ?em nome de? (on behalf of); Mensagem enviada ?como? (?As?); Mensagem recebida; Mensagem editada; Mensagem deletada; Mensagem copiada; Mensagem movida; Mensagem criada; Mensagem marcada não lida; Mensagem marcada como lida; Logon; Permissões adicionadas a mailbox; Permissões removidas de mailbox; Permissões administrativas adicionadas a pasta pública; Permissões administrativas removidas de pasta pública;)

667

16.9 A solução deverá auditar, registrar eventos (log) e aplicar as análises comportamentais das caixas postais e pastas compartilhadas do Microsoft Exchange Server para eventos gerados a partir de dispositivos moveis e/ou acessos externos (via internet) por meio de acesso WEB através dos seguintes protocolos de comunicação contemplando no mínimo os seguintes POP3 ? Post Office Protocol v3, IMAP4 ? Internet Message Access Protocol, MAPI - Messaging Application Programming Interface, OWA ? Outlook Web Access, EWS ? Exchange Web Services, ActiveSync - para smartphones e outros dispositivos similares.

668

LOTE 5 ? ITEM 3 ? SERVIÇO DE INSTALAÇÃO, CONFIGURAÇÃO, SUPORTE TÉCNICO E GARA NTIA PELO PERÍODO DE 60 MESES

669

17.1 Os serviços de suporte técnico deverão contemplar as manutenções corretivas e evolutivas para a solução contratada e não poderão acarretar custos adicionais ao CONTRATANTE, além do contratado.

670

17.2 Entende-se por ?manutenção corretiva? uma série de procedimentos destinados a recolocar a solução em pleno estado de funcionamento, removendo definitivamente os defeitos apresentados.

671

17.3 Entende-se por ?manutenção evolutiva? o fornecimento de novas versões e/ ou releases corretivas e/ou evolutivas de softwares que compõem a solução corporativa do software, lançadas durante a vigência deste contrato.

672

17.4 Durante o período de vigência do contrato o CONTRATANTE terá direito, sem ônus adicional, a todas as atualizações de versão e releases dos softwares e firmwares que fazem parte da solução ofertada.

673

17.5 Compreende-se nesta etapa a instalação de equipamentos, sistemas, softwares e aplicativos da CONTRATANTE nos PRODUTOS fornecidos, bem como a migração das configurações existentes na CONTRATANTE para os PRODUTOS fornecidos pela CONTRATADA;

674

17.6 A etapa de instalação, configuração e migração deve acontecer de forma gradual e transparente, de acordo com a conveniência da CONTRATANTE;

675

17.7 Durante a etapa de instalação, configuração e migração, os PRODUTOS fornecidos pela CONTRATADA serão colocados em plena operação, em condições reais de produção;

676

17.8 Durante esta etapa, a equipe da CONTRATADA deverá estar presente, nos horários de testes, implantação e migração, definidos pela CONTRATANTE;

677

17.9 As atividades de instalação, configuração e migração, de acordo com a necessidade, poderão ser executadas em horário comercial, período noturno ou final de semana;

678

17.10 A CONTRATADA deve garantir que a migração não irá alterar o funcionamento dos serviços instalados na unidade objeto da migração, sem a prévia autorização da CONTRATANTE;

679

17.11 A CONTRATADA deverá, com a supervisão e aprovação da CONTRATANTE, planejar e realizar a instalação e configuração dos softwares com total interoperabilidade operacional com ambiente atual da CONTRATANTE, sem impacto no ambiente de produção;

680

17.12 Durante a implantação e integração, a CONTRATADA deverá realizar, entre outras atividades: instalação de softwares, acompanhamento de migrações de regras e políticas, elaboração e execução de scripts, análise de performance, tunning, resolução de problemas e implementação de segurança;

681

17.13 Para instalação, configuração e migração devem ser consideradas as seguintes premissas:

682

17.13.1 Caberá a CONTRATADA a disponibilização de todos os recursos necessários, tais como hardwares, softwares, recursos humanos necessários à instalação dos PRODUTOS;

683

17.13.2 Caberá CONTRATADA a disponibilização de ferramentas / scripts de retorno imediato ao estado original da estrutura da CONTRATADA caso a instalação e migração dos produtos / softwares da CONTRATADA apresente falha.

684

17.14 A CONTRATADA realizará adequação/configuração dos PRODUTOS fornecidos ao longo da etapa de migração e realização de novas configurações;

685

17.15 4 A CONTRATADA deverá fornecer todas as licenças necessárias dos PRODUTOS ofertados e dos elementos adicionais que se fizerem necessários à instalação/migração e ao pleno funcionamento do ambiente de produção.

686

17.16 Serviço de suporte técnico on-site

687

17.16.1 O atendimento para solução ofertada será do tipo telefônico, 24 (vinte e quatro) horas por dia e 7 (sete) dias por semana. Deverá ser realizado por profissionais especializados e deverá cobrir todo e qualquer defeito apresentado;

688

17.16.2 O tempo para o atendimento inicial de suporte a solução será de 2 (duas) horas, após a abertura do chamado, e o prazo máximo para solução deverá ser de 10 (dez) dias corridos, contados da abertura do chamado, desde que a falha não comprometa o funcionamento da solução.

689

17.17 Requisitos de Garantia e Manutenção

690

17.17.1 A garantia de funcionamento da solução ofertada deverá ser pelo período de 60 meses, contada a partir da data de emissão do Termo de Recebimento Definitivo do equipamento.

691

17.17.2 A CONTRATADA deverá permitir o registro de solicitações de atendimento técnico presencial, em regime de garantia, ou técnico à distância, durante todo o período da garantia.

692

17.17.3 O registro de solicitações de atendimento técnico presencial ocorrerá através de central de atendimento, por meio de ligação gratuita ou ligação local ao endereço de entrega, com funcionamento 24 (vinte e quatro) horas por dia e 7(sete) dias por semana, sendo também aceitável o registro de solicitação de atendimento técnico presencial pela Internet.

693

17.17.4 Caso a CONTRATADA não possua central de atendimento por telefone para registro de solicitações atendimento técnico presencial, deverá disponibilizar outro número que permita o registro das solicitações, disponível 24 (vinte e quatro) horas por dia e sete dias por semana.

694

17.17.5 As solicitações de atendimento técnico presencial partirão da gestão ou fiscalização contratual e deverão ser lançadas em registro próprio pela CONTRATADA.

695

17.17.6 Para cada solicitação de atendimento técnico presencial deverá ser gerado um identificador único e sequencial, para fins de controle e acompanhamento da solicitação.

696

17.17.7 O atendimento técnico presencial deverá ser provido 24 (vinte e quatro) horas por dia e sete dias por semana para os equipamentos e softwares instalados na CONTRATANTE.

697

17.17.8 O prazo máximo para que se inicie o atendimento técnico presencial na SEDE da CONTRATANTE, será de até 8 (oito) horas, contado a partir do momento em que for realizada a solicitação de atendimento técnico pela CONTRATANTE, de acordo com o Acordo de nível de serviço estabelecido.

698

17.17.9 (*) Entende-se por início do atendimento técnico presencial o momento de chegada do técnico à edificação onde está instalada a solução.

699

17.17.10 (*) Entende-se por término do atendimento técnico presencial a disponibilidade do equipamento para uso em perfeitas condições de funcionamento, na edificação onde estiver instalada, atestado pela CONTRATANTE.

700

17.17.11 O atendimento técnico presencial poderá envolver manutenção preventiva ou corretiva, com a substituição de peças, componentes e materiais, atualizações de BIOS, firmware e drivers, sem ônus adicional à CONTRATANTE.

701

17.17.12 (*) Entende-se por manutenção preventiva aquela que é realizada periodicamente para evitar paradas e manter na solução em condições de trabalho normal, programada em comum acordo com a CONTRATANTE, de modo a evitar ao máximo a indisponibilidade dos equipamentos contratados.

702

17.17.13 Na realização da manutenção preventiva a CONTRATADA deverá realizar revisões, testes e adequações nas configurações e regras aplicadas nos equipamentos e nas ferramentas de gerenciamento de senhas, visando a garantir o melhor desempenho da solução CONTRATADA, assim como realizar a verificação de sobreposição e/ou inconsistência das regras de segurança. A CONTRATADA também deverá analisar as condições de instalação e acondicionamento do hardware com o objetivo de verificar se as condições físicas e ambientais estão adequadas para o bom funcionamento da solução

703

17.17.14 Serão executadas até 4 (quatro) manutenções preventivas a cada ano do período coberto pelo regime de garantia.

704

17.17.15 As manutenções preventivas serão realizadas exclusivamente em Brasília/DF.

705

17.17.16 (*) Entende-se por manutenção corretiva a série de procedimentos destinados a recolocar as soluções em seu perfeito estado de uso.

706

17.17.17 O tempo máximo de paralisação tolerável dos equipamentos e softwares é de até 24 (vinte e quatro) horas, contado a partir do momento em que for realizada a solicitação de atendimento técnico pela CONTRATANTE, desde que a falha não comprometa a disponibilidade da solução (falha simultânea em ambos os nós do cluster) quando instalado em configuração de alta disponibilidade.

707

17.17.18 Ao final de cada atendimento técnico presencial, a CONTRATADA deverá apresentar ?Relatório de Atendimento? ou documento similar, contendo a data, hora de chamada, início e término do atendimento, identificação do problema, providencias adotadas e outras informações que sejam pertinentes, a ser assinada pela CONTRATANTE e pelo responsável pela manutenção.

708

17.17.19 A CONTRATADA também deverá prestar atendimento técnico à distância, por técnicos devidamente habilitados.

709

17.17.20 O atendimento técnico à distância ocorrer. através de central, acionada por meio de ligação gratuita ou ligação local, com funcionamento das 24(vinte e quatro) horas por dia, 7 (sete) dias por semana, todos os dias do ano, inclusive sábados, domingos e feriados, com início de atendimento e prazo de solução de acordo com o nível de severidade exigido para o caso, sendo também aceitável o encaminhamento de solicitações por e-mail ou por chamadas para telefones móveis.

710

17.18 As solicitações de atendimento técnico à distância partirão igualmente da gestão ou fiscalização contratual e prescindem de lançamento em registro próprio pela CONTRATADA.

711

17.19 A CONTRATADA deverá manter o serviço de suporte técnico, disponível para a abertura e acompanhamento de chamados em tempo integral, 24 (vinte e quatro) horas por dia, 7 (sete) dias por semana, todos os dias do ano, inclusive sábados, domingos e feriados, com início de atendimento e prazo de solução de acordo com o nível de severidade exigido para o caso, conforme os índices de criticidade abaixo:

Criticidade Descrição Prazo Máximo de Atendimento
Severidade 1 (Alta) Sistema parado ou produto inoperante com impacto nas operações críticas de negócio. Exemplos: Servidor de produção ou outro sistema inicial está inativo. Parte substancial dos dados essenciais corre risco de perda ou corrupção. Operações relacionadas ao negócio foram afetadas, falha que compromete a integridade geral do sistema ou dos dados. Em até 6 (seis) horas um técnico do fornecedor deve entrar em contato para realizar o atendimento, podendo ser de forma remota ou presencial.
Severidade 2 (Média) Alto impacto no ambiente de produção ou grande restrição de funcionalidade. Exemplo: Ocorreu um problema no qual um recurso importante foi gravemente danificado. As operações podem continuar de forma limitada, embora a produtividade em longo prazo possa ser afetada negativamente. O defeito não gera impacto ao negócio. Exemplo: Ocorreu um erro que causou impacto negativo limitado na operações. Em até 8 (oito) horas um técnico do fornecedor deve entrar em contato para realizar o atendimento, podendo ser de forma remota ou presencial.
Severidade 3 (Baixa) O problema é pequeno, de caráter preventivo e operacional. Exemplos:
O problema não afetou as operações da contratante negativamente;
Atualização preventiva de softwares e firmwares agendados.
Encaminhamento de solicitações e ou sugestões para novos recursos ou aprimoramento e configuração do software licenciado.
Em até 8 (oito) horas um técnico do fornecedor deve entrar em contato para realizar o atendimento, podendo ser de forma remota ou presencial


LOTE 5 - ITEM 4 - TREINAMENTO DA SOLUÇÃO

712

18.1. O treinamento deverá ser realizado no Brasil, em português, na modalidade presencial, em local fornecido pela CONTRATADA;

713

18.2. O local do treinamento deverá possuir todas as facilidades para um perfeito desempenho das atividades, incluindo os recursos áudio visuais e laboratórios necessários;

714

18.3. Caberá à CONTRATADA prover todos os recursos didáticos necessários à realização do treinamento, incluindo (mas não se restringindo a) sala de aula, data show, apostilas, bloco de anotações e caneta para cada treinando;

715

18.4. Deverá ser fornecido treinamento na solução adquirida de no mínimo 20 horas, para até 08 (oito) pessoas, designadas pela Contratante, em até 15 dias após o término da instalação, a fim de repassar as informações necessárias dos produtos adquiridos, incluindo detalhamento do produto e seus aspectos gerais de configuração e operação com instrutor certificado pela fabricante dos produtos para realizar os treinamentos, comprovado mediante apresentação de certificado expedido pela CONTRATADA da solução;

716

18.5. O treinamento deverá cobrir conhecimentos necessários para instalação, administração, configuração, otimização, resolução de problemas e utilização da solução;

717

18.6. A CONTRATADA deverá fornecer material didático individual, de maneira impressa ou digital;

718

18.7. O treinamento deverá englobar a realização de laboratórios práticos, fornecidos pela CONTRATADA, para configuração e execução de exercícios práticos na mesma versão dos produtos ofertados;

719

18.8. Os custos referentes ao deslocamento, hospedagem e alimentação dos instrutores serão de responsabilidade da CONTRATANTE;

720

18.9. Após a finalização do treinamento, a CONTRATADA, deverá emitir certificado individual de conclusão, para todos os participantes;

721

18.10. O certificado de conclusão deverá ser emitido em português brasileiro.

LOTE 6 ? ITEM 1 - SOLUÇÃO DE AUDITORIA, GESTÃO, AUTOMAÇÃO, MONITORAÇÃO PARA SERVIDORES DE ARQUIVOS MICROSOFT E IDENTIFICAÇÃO E CLASSIFICAÇÃO DE CONTEÚDOS SENSÍVEIS

722

19.1. As funcionalidades descritas nas características gerais devem se aplicar para a solução de servidores de arquivos Windows;

723

19.2. A solução deverá possuir arquitetura multicamadas para distribuir e minimizar o impacto no ambiente de TI, com os seguintes componentes:

724

19.2.1. Servidor: componente principal, responsável em prover a console de administração e de usuário, autenticação de usuários, sincronia e processamento de dados.

725

19.2.2. Coletor: componente responsável pela varredura dos sistemas de arquivos, sharepoint e dispositivos NAS e pré-processamento dos dados

726

19.2.3. Indexador: componente responsável pela indexação das atividades de acesso e metadados dos arquivos coletados.

727

19.3. A solução descrita neste item deve possuir as seguintes funcionalidades globais:

728

19.3.1. Auditar acesso, modificação e remoção de pastas e arquivos em servidores de arquivos;

729

19.3.2. Gerar alerta com base nas informações auditadas;

730

19.3.3. Permitir a delegação de gerenciamento de acessos aos proprietários dos dados;

731

19.3.4. Monitorar e analisar comportamentos suspeitos de usuários;

732

19.5. A solução deve suportar como servidores de arquivos as versões Windows Server 2008, 2008 R2, Windows Server 2012, 2012 R2 e Windows Server 2016;

733

19.6. A solução a ser fornecida deverá possuir compatibilidade comprovada no site dos fabricantes dos storages Netapp,DELL EMC, Windows File Server e Microsoft Sharepoint para que tenha compatibilidade com a infraestrutura atual do órgão.

734

19.7. A solução deve oferecer as funcionalidades de permissionamento, Log, Relatórios e Análise Comportamental dos usuários descritas nos itens acima em plataformas de servidores de arquivos Windows e NAS (Network Attached Storage);

735

19.8. A solução ofertada deve manter o log das operações de abrir, criar, apagar, modificar, renomear e acesso negado;

736

19.9. A solução deve oferecer, a partir da console, as funcionalidades de visibilidade de permissionamento das pastas dos repositórios monitorados;

737

19.10. A solução contratada deve oferecer uma interface gráfica integrado com os módulos de auditoria para que os proprietários das pastas tenham uma informação íntegra dos eventos de sua pasta;

738

19.11. A solução deverá permitir que os usuários donos das pastas concedam acesso às suas pastas ou grupos para outros usuários, bem como a revogação destes acessos, sem necessidade de envolvimento do administrador do sistema;

739

19.12. A solução deverá fornecer, no mínimo, as seguintes informações:

740

19.12.1. Usuários proprietários do dado;

741

19.12.2. Usuários que visualizaram o dado;

742

19.12.3. Usuário que acessaram os dados

743

19.12.4. Quais os dados que estão sob riscos;

744

19.12.5. Frequência de uso dos dados.

745

19.13. A solução deverá enviar notificações por e-mail e event viewer quando ocorrer problemas com a saúde da solução;

746

19.14. A solução deve ser capaz de auditar atividades em arquivos como deleção, abertura, movimentação e acessos negados;

747

19.15. A solução deverá ter a capacidade de prover graficamente uma visão detalhada de todas as atividades de arquivos e usuários;

748

19.16. A solução deverá permitir a identificação de compartilhamentos ou pastas que possuam direitos de acesso demasiadamente permissivas para redução de riscos.

749

19.17. Baseada nos dados de auditoria, a solução deve ser capaz de aprender o comportamento padrão dos recursos monitorados, para que desvios e anomalias nesses comportamentos sejam identificados automaticamente e alertados em tempo real;

750

19.18. A solução deve oferecer relatório dos alertas de comportamento anômalo identificados nos arquivos, pastas e diretórios dos servidores monitorados;

751

19.19. A solução deve fornecer os seguintes relatórios:

752

19.19.1. Indicativos de uso de dados para a gestão de arquivos e pastas;

753

19.19.2. Logs de acessos e modificações de arquivos e pastas, com detalhamento dos eventos e metadados dos objetos afetados;

754

19.19.3. Todas as modificações de permissionamento dos diretórios e pastas dos servidores monitorados feitas através da interface gráfica da solução ou feitas de forma manual diretamente nos servidores de arquivos;

755

19.19.4. Lista de pastas críticas com permissões excessivas nos servidores monitorados;

756

19.20. Recomendações de revogação de permissões dos usuários calculadas pela análise comportamental;

757

19.21. A solução deverá possuir estatística de acesso às pastas, utilização por tipo de arquivo, eventos por usuário e distribuição por tipos de evento sobre os servidores monitorados;

758

19.22. A solução deverá otimizar a gestão de dados descobrindo permitindo a limpeza de dados obsoletos, duplicados e órfãos.

759

19.23. A solução deverá fornecer ferramentas para geração de relatórios, customização e edição. Além de possuir relatórios out-of-the-box, que também podem ser utilizados como modelo.

760

19.24. A solução deverá incluir classificação dos dados, filtros avançados de atividade e acesso com capacidade de visualização gráfica

761

19.25. A solução deve ser capaz de identificar qual dado ou arquivo contém informações sensíveis ou confidenciais através da busca em seu conteúdo por informações definidas em dicionários fornecidos pelo fabricante ou por informações definidas e customizadas pelo usuário.

762

19.26. A solução deve exibir na mesma interface gráfica das informações sobre os permissionamentos e ACL?s, a quantidade de informações sensíveis e qual tipo de informação sensível classificada para facilitar a identificação de potenciais repositórios e pastas super expostos.

763

19.27. A solução deve permitir a classificação automática dos dados através de políticas e padrões identificados nos arquivos, de acordo com as políticas da AEB, tais como:
19.27.1. Dados sensíveis;
19.27.2. Dados sigilosos;
19.27.3. Dados pessoais;
19.27.4. Dados triviais;

764

19.28. A solução deve possui políticas e padrões de classificação embutidas, e também permitir a customização de novas políticas e/ou padrões para adequação às necessidades da AEB.

765

19.29. As informações produzidas pela solução sobre dados sensíveis devem ser disponibilizadas em forma de relatórios.

766

19.30. As consultas aos logs de auditoria e relatórios devem suportar filtros de classificação de dados sensíveis.

767

19.31. Para cada arquivo marcado como sensível, a solução deve possibilitar a visão, diretamente da ferramenta, das expressões regulares ou strings que fizeram com que esse arquivo fosse considerado como sensível.

768

19.32. A solução deve fornecer visibilidade de conteúdo crítico de negócios através da classificação da informação.

769

19.33. A leitura do conteúdo do arquivo e a classificação deve ser feita no servidor da aplicação para que o servidor de arquivos sofra o mínimo de impacto possível.

770

19.34. A ferramenta deve permitir integração com ferramentas do DLP (Data Loss Prevention) de classificação de dados sensíveis e informar em relatório onde estes dados se encontram dentro do sistema de arquivos da solução.

771

19.35. Deve ser possível limitar escopo dentro dos sistemas de arquivos a ser analisado.

772

19.36. A solução deve estar pronta para identificar dados que possuam informações referente a Lei de Geral de Proteção de Dados (LGPD);

773

19.37. A solução deve ser capaz de identificar e classificar ao menos os seguintes termos da LGPD:
19.37.1. Nome;
19.37.2. CPF;
19.37.3. Passaporte;
19.37.4. Religião;
19.37.5. Gênero;
19.37.6. Nacionalidade;

LOTE 6 ? ITEM 2 ? SERVIÇO DE INSTALAÇÃO E SUPORTE TÉCNICO

774

20.1. Os serviços de suporte técnico deverão contemplar as manutenções corretivas e evolutivas para a solução contratada e não poderão acarretar custos adicionais ao CONTRATANTE, além do contratado.

775

20.2. Entende-se por ?manutenção corretiva? uma série de procedimentos destinados a recolocar a solução em pleno estado de funcionamento, removendo definitivamente os defeitos apresentados.

776

20.3. Entende-se por ?manutenção evolutiva? o fornecimento de novas versões e/ ou releases corretivas e/ou evolutivas de softwares que compõem a solução corporativa do software, lançadas durante a vigência deste contrato.

777

20.4. Durante o período de vigência do contrato o CONTRATANTE terá direito, sem ônus adicional, a todas as atualizações de versão e releases dos softwares e firmwares que fazem parte da solução ofertada.

778

20.5. Compreende-se nesta etapa a instalação de equipamentos, sistemas, softwares e aplicativos da CONTRATANTE nos PRODUTOS fornecidos, bem como a migração das configurações existentes na CONTRATANTE para os PRODUTOS fornecidos pela CONTRATADA;

779

20.6. A etapa de instalação, configuração e migração deve acontecer de forma gradual e transparente, de acordo com a conveniência da CONTRATANTE;

780

20.7. Durante a etapa de instalação, configuração e migração, os PRODUTOS fornecidos pela CONTRATADA serão colocados em plena operação, em condições reais de produção;

781

20.8. Durante esta etapa, a equipe da CONTRATADA deverá estar disponível, nos horários de testes, implantação e migração, definidos pela CONTRATANTE;

782

20.9. As atividades de instalação, configuração e migração, de acordo com a necessidade, poderão ser executadas em horário comercial, período noturno ou final de semana;

783

20.10. A CONTRATADA deve garantir que a migração não irá alterar o funcionamento dos serviços instalados na unidade objeto da migração, sem a prévia autorização da CONTRATANTE;

784

20.11. A CONTRATADA deverá, com a supervisão e aprovação da CONTRATANTE, planejar e realizar a instalação e configuração dos softwares com total interoperabilidade operacional com ambiente atual da CONTRATANTE, sem impacto no ambiente de produção;

785

20.12. Durante a implantação e integração, a CONTRATADA deverá realizar, entre outras atividades: instalação de softwares, acompanhamento de migrações de regras e políticas, elaboração e execução de scripts, análise de performance, tunning, resolução de problemas e implementação de segurança;

786

20.13. Para instalação, configuração e migração devem ser consideradas as seguintes premissas:

787

20.13.1. Caberá a CONTRATADA a disponibilização de todos os recursos necessários, tais como hardwares, softwares, recursos humanos necessários à instalação dos PRODUTOS;

788

20.13.2. Caberá CONTRATADA a disponibilização de ferramentas / scripts de retorno imediato ao estado original da estrutura da CONTRATADA caso a instalação e migração dos produtos / softwares da CONTRATADA apresente falha.

789

20.14. A CONTRATADA realizará adequação/configuração dos PRODUTOS fornecidos ao longo da etapa de migração e realização de novas configurações;

790

20.15. 4 A CONTRATADA deverá fornecer todas as licenças necessárias dos PRODUTOS ofertados e dos elementos adicionais que se fizerem necessários à instalação/migração e ao pleno funcionamento do ambiente de produção.

791

20.16. Serviço de suporte técnico on-site

792

20.16.1. O atendimento para solução ofertada será do tipo telefônico, 24 (vinte e quatro) horas por dia e 7 (sete) dias por semana. Deverá ser realizado por profissionais especializados e deverá cobrir todo e qualquer defeito apresentado;

793

20.16.2. O tempo para o atendimento inicial de suporte a solução será de 2 (duas) horas, após a abertura do chamado, e o prazo máximo para solução deverá ser de 10 (dez) dias corridos, contados da abertura do chamado, desde que a falha não comprometa o funcionamento da solução.

794

20.17. Requisitos de Garantia e Manutenção

795

20.17.1. A garantia de funcionamento da solução ofertada deverá ser pelo período de 60 meses, contada a partir da data de emissão do Termo de Recebimento Definitivo do equipamento.

796

20.17.2. A CONTRATADA deverá permitir o registro de solicitações de atendimento técnico presencial, em regime de garantia, ou técnico à distância, durante todo o período da garantia.

797

20.17.3. O registro de solicitações de atendimento técnico presencial ocorrerá através de central de atendimento, por meio de ligação gratuita ou ligação local ao endereço de entrega, com funcionamento 24 (vinte e quatro) horas por dia e 7(sete) dias por semana, sendo também aceitável o registro de solicitação de atendimento técnico presencial pela Internet.

798

20.17.4. Caso a CONTRATADA não possua central de atendimento por telefone para registro de solicitações atendimento técnico presencial, deverá disponibilizar outro número que permita o registro das solicitações, disponível 24 (vinte e quatro) horas por dia e sete dias por semana.

799

20.17.5. As solicitações de atendimento técnico presencial partirão da gestão ou fiscalização contratual e deverão ser lançadas em registro próprio pela CONTRATADA.

800

20.17.6. Para cada solicitação de atendimento técnico presencial deverá ser gerado um identificador único e sequencial, para fins de controle e acompanhamento da solicitação.

801

20.17.7. O atendimento técnico presencial deverá ser provido 24 (vinte e quatro) horas por dia e sete dias por semana para os equipamentos e softwares instalados na CONTRATANTE.

802

20.17.8. O prazo máximo para que se inicie o atendimento técnico presencial na SEDE da CONTRATANTE, será de até 8 (oito) horas, contado a partir do momento em que for realizada a solicitação de atendimento técnico pela CONTRATANTE, de acordo com o Acordo de nível de serviço estabelecido.

803

20.17.9. (*) Entende-se por início do atendimento técnico presencial o momento de chegada do técnico à edificação onde está instalada a solução.

804

20.17.10. (*) Entende-se por término do atendimento técnico presencial a disponibilidade do equipamento para uso em perfeitas condições de funcionamento, na edificação onde estiver instalada, atestado pela CONTRATANTE.

805

20.17.11. O atendimento técnico presencial poderá envolver manutenção preventiva ou corretiva, com a substituição de peças, componentes e materiais, atualizações de BIOS, firmware e drivers, sem ônus adicional à CONTRATANTE.

806

20.17.12. (*) Entende-se por manutenção preventiva aquela que é realizada periodicamente para evitar paradas e manter na solução em condições de trabalho normal, programada em comum acordo com a CONTRATANTE, de modo a evitar ao máximo a indisponibilidade dos equipamentos contratados.

807

20.17.13. Na realização da manutenção preventiva a CONTRATADA deverá realizar revisões, testes e adequações nas configurações e regras aplicadas nos equipamentos e nas ferramentas de gerenciamento de senhas, visando a garantir o melhor desempenho da solução CONTRATADA, assim como realizar a verificação de sobreposição e/ou inconsistência das regras de segurança. A CONTRATADA também deverá analisar as condições de instalação e acondicionamento do hardware com o objetivo de verificar se as condições físicas e ambientais estão adequadas para o bom funcionamento da solução

808

20.17.14. Serão executadas até 4 (quatro) manutenções preventivas a cada ano do período coberto pelo regime de garantia.

809

20.17.15. As manutenções preventivas serão realizadas por acesso remoto.

810

20.17.16. (*) Entende-se por manutenção corretiva a série de procedimentos destinados a recolocar as soluções em seu perfeito estado de uso.

811

20.17.17. O tempo máximo de paralisação tolerável dos equipamentos e softwares é de até 24 (vinte e quatro) horas, contado a partir do momento em que for realizada a solicitação de atendimento técnico pela CONTRATANTE, desde que a falha não comprometa a disponibilidade da solução (falha simultânea em ambos os nós do cluster) quando instalado em configuração de alta disponibilidade.

812

20.17.18. Ao final de cada atendimento técnico presencial, a CONTRATADA deverá apresentar ?Relatório de Atendimento? ou documento similar, contendo a data, hora de chamada, início e término do atendimento, identificação do problema, providencias adotadas e outras informações que sejam pertinentes, a ser assinada pela CONTRATANTE e pelo responsável pela manutenção.

813

20.17.19. A CONTRATADA também deverá prestar atendimento técnico à distância, por técnicos devidamente habilitados.

814

20.17.20. O atendimento técnico deve ocorrer à distância através de central, acionada por meio de ligação gratuita ou ligação local, com funcionamento das 24 (vinte e quatro) horas por dia, 7 (sete) dias por semana, todos os dias do ano, inclusive sábados, domingos e feriados, com início de atendimento e prazo de solução de acordo com o nível de severidade exigido para o caso, sendo também aceitável o encaminhamento de solicitações por e-mail ou por chamadas para telefones móveis.

815

20.17.21. As solicitações de atendimento técnico à distância partirão igualmente da gestão ou fiscalização contratual e prescindem de lançamento em registro próprio pela CONTRATADA.

816

20.18. A CONTRATADA deverá manter o serviço de suporte técnico, disponível para a abertura e acompanhamento de chamados em tempo integral, 24 (vinte e quatro) horas por dia, 7 (sete) dias por semana, todos os dias do ano, inclusive sábados, domingos e feriados, com início de atendimento e prazo de solução de acordo com o nível de severidade exigido para o caso, conforme os índices de criticidade abaixo:

Criticidade Descrição Prazo Máximo de Atendimento
Severidade 1 (Alta) Sistema parado ou produto inoperante com impacto nas operações críticas de negócio. Exemplos: Servidor de produção ou outro sistema inicial está inativo. Parte substancial dos dados essenciais corre risco de perda ou corrupção. Operações relacionadas ao negócio foram afetadas, falha que compromete a integridade geral do sistema ou dos dados. Em até 6 (seis) horas um técnico do fornecedor deve entrar em contato para realizar o atendimento, podendo ser de forma remota ou presencial.
Severidade 2 (Média) Alto impacto no ambiente de produção ou grande restrição de funcionalidade. Exemplo: Ocorreu um problema no qual um recurso importante foi gravemente danificado. As operações podem continuar de forma limitada, embora a produtividade em longo prazo possa ser afetada negativamente. O defeito não gera impacto ao negócio. Exemplo: Ocorreu um erro que causou impacto negativo limitado na operações. Em até 8 (oito) horas um técnico do fornecedor deve entrar em contato para realizar o atendimento, podendo ser de forma remota ou presencial.
Severidade 3 (Baixa) O problema é pequeno, de caráter preventivo e operacional. Exemplos:
O problema não afetou as operações da contratante negativamente;
Atualização preventiva de softwares e firmwares agendados.
Encaminhamento de solicitações e ou sugestões para novos recursos ou aprimoramento e configuração do software licenciado.
Em até 8 (oito) horas um técnico do fornecedor deve entrar em contato para realizar o atendimento, podendo ser de forma remota ou presencial
817

LOTE 6 ? ITEM 3 - TREINAMENTO DA SOLUÇÃO 21.1.1 O treinamento deverá ser realizado no Brasil, em português, na modalidade presencial, em local fornecido pela CONTRATADA; 21.1.2 O local do treinamento deverá possuir todas as facilidades para um perfeito desempenho das atividades, incluindo os recursos áudio visuais e laboratórios necessários; 21.1.3 Caberá à CONTRATADA prover todos os recursos didáticos necessários à realização do treinamento, incluindo (mas não se restringindo a) sala de aula, data show, apostilas, bloco de anotações e caneta para cada treinando; 21.1.4 Deverá ser fornecido treinamento na solução adquirida de no mínimo 20 horas, para até 08 (oito) pessoas, designadas pela Contratante, em até 15 dias após o término da instalação, a fim de repassar as informações necessárias dos produtos adquiridos, incluindo detalhamento do produto e seus aspectos gerais de configuração e operação com instrutor certificado pela fabricante dos produtos para realizar os treinamentos, comprovado mediante apresentação de certificado expedido pela CONTRATADA da solução; 21.1.5 O treinamento deverá cobrir conhecimentos necessários para instalação, administração, configuração, otimização, resolução de problemas e utilização da solução; 21.1.6 A CONTRATADA deverá fornecer material didático individual, de maneira impressa ou digital; 21.1.7 O treinamento deverá englobar a realização de laboratórios práticos, fornecidos pela CONTRATADA, para configuração e execução de exercícios práticos na mesma versão dos produtos ofertados; 21.1.8 Os custos referentes ao deslocamento, hospedagem e alimentação dos instrutores serão de responsabilidade da CONTRATANTE; 21.1.9 Após a finalização do treinamento, a CONTRATADA, deverá emitir certificado individual de conclusão, para todos os participantes; 21.1.10 O certificado de conclusão deverá ser emitido em português brasileiro.

818

LOTE 7 ? ITEM 1 ? SOLUÇÃO DE GOVERNANÇA, RISCO E CONFORMIDADE

819

22.1. A solução de Gestão integrada de riscos e compliance deverá ser uma plataforma de tecnologia para dar suporte a todas as iniciativas de Gerenciamento de Riscos, Gestão de Conformidade, Auditoria, Segurança da Informação e Privacidade que envolvam a implementação de indicadores de aderência, bem como permitir a criação de fluxos de trabalho, notificações, integrações com produtos de terceiros via acesso a dados estruturados e customização de layout, campos, fórmulas, painéis de indicadores e relatórios.

820

22.2. CARACTERÍSTICAS GERAIS

821

22.3. A solução deverá:

822

22.3.1 Ser baseada em plataforma Web, sem a necessidade de instalação de aplicações cliente (modelo client/server);

823

22.3.2 Ser baseada em plataforma Microsoft. A solução deverá, especificamente, atender os seguintes pré-requisitos de software: Microsoft Windows 2012 R2 ou Windows 2016; SQL Server 2016 SP1, SQL Server 2016 Enterprise ou SQL Server 2017; Internet Information Services 8.5 ou 10.0;

824

22.3.3 O licenciamento deve contemplar os três ambientes: produção, desenvolvimento e homologação;

825

22.3.4 Todas as soluções abrangidas pela plataforma devem ser integradas entre si e serem do mesmo fabricante;

826

22.3.5 Todas as características abrangidas na solução devem ser funcionalidades do software ofertado, não havendo necessidade de instalação de outros produtos para criação de relatórios, dashboard, conectores, dentre outras características;

827

22.3.6 Suportar, no mínimo, os seguintes idiomas: Português, Espanhol, Inglês, Alemão, Italiano, Francês, Chinês, Japonês e Russo;

828

22.3.7 Possibilitar a criação de um painel executivo de indicadores que permita a visualização completa de todas as soluções abrangidas pela plataforma (exemplo: Risco, Conformidade, Auditoria, etc), e que permita a definição de controles de acesso diferenciados a este painel. Exemplo: Os mesmos indicadores apresentados no painel apresentarão resultados diferentes dependendo de qual usuário esteja conectado na ferramenta;

829

22.3.8 Permitir a criação de usuários na própria plataforma, incluindo a possibilidade de especificar informações de contatos (e-mails, telefones, cargo, endereço, etc), time zone, língua padrão (Português, Espanhol ou Inglês), e definir a quais grupos e papéis estes usuários pertencem;

830

22.3.9 Permitir a criação de grupos de usuários de tal forma a utilizá-los em outras funções dentro da plataforma, tais como envio de notificações, fluxos de trabalho, controle de acesso, entre outros;

831

22.3.10 Possibilitar a definição de papéis de acesso, incluindo granularidade que permita definir, para cada aplicação que a plataforma possui, os direitos de criar, ler, atualizar e apagar;

832

22.3.11 Permitir a definição de parâmetros de segurança de senhas incluindo, no mínimo, as seguintes opções:
22.3.11.1 tamanho mínimo de senha;
22.3.11.2 obrigatoriedade de uso de caracteres numéricos, letras maiúsculas e caracteres especiais;
22.3.11.3 intervalo para a troca das senhas;
22.3.11.4 definição da quantidade de senhas anteriores que não poderão ser reutilizadas;
22.3.11.5 definição do prazo para envio de lembretes da proximidade da troca das senhas;
22.3.11.6 quantidades de tentativas de senhas erradas;
22.3.11.7 período de bloqueio após sucessivos erros de autenticação;
22.3.11.8 tempo de expiração de sessões;
22.3.11.9 desativação automática de usuários após longo período de inatividade

833

22.3.12 Permitir a sincronização com bases LDAP genéricas e Microsoft Active Directory, para possibilitar o login na plataforma utilizando usuário/senha da rede. Adicionalmente, deverá permitir as seguintes características:
22.3.12.1 definição do domínio e endereço IP do servidor LDAP;
22.3.12.2 definição das credenciais que permitem o acesso às bases LDAP;
22.3.12.3 definição da base DN e do mapeamento de campos, tais como: usuário, primeiro nome, sobrenome, e-mail, telefone, entre outros;
22.3.12.4 definição da frequência de atualização (diária ou semanal), incluindo horário de início e timezone;
22.3.12.5 sincronização de usuários específicos de acordo com um critério de seleção de atributo LDAP;
22.3.12.6 criação automática de usuários que pertençam à fonte LDAP, porém não estejam cadastrados na plataforma contratada;
22.3.12.7 desativação automática de usuários que existam na plataforma contratada, porém não existam na fonte LDAP;
22.3.12.8 replicação da estrutura de grupos na plataforma contratada, de acordo com fonte LDAP;
22.3.12.9 histórico do processo de sincronização, incluindo a data de execução e quantidades de contas e grupos criados/desativados/reativados, além do total de falhas e detalhamento destas;
22.3.12.10 Permitir a integração com soluções de federação de acessos, como Microsoft ADFS, por meio do protocolo SAML 2.0.

834

22.3.13 Permitir gerar relatórios referentes a controle de acesso à plataforma contratada. Os relatórios devem incluir, no mínimo:
22.3.13.1 relação de direitos de acesso, filtrados por papéis por aplicações específicas da plataforma;
22.3.13.2 relação de falhas de login;
22.3.13.3 relação de logins de usuários bloqueados;
22.3.13.4 relação de eventos de segurança relativos à plataforma, incluindo, no mínimo: importação de dados; login/logout, criação/deleção/modificação de perfis de acesso e usuários; modificação de parâmetros de segurança de senhas; modificação de parâmetros LDAP, deleção dos próprios eventos de segurança, entre outras atividades administrativas, de tal forma a manter uma trilha de auditoria da administração da plataforma;
22.3.13.5 possibilidade de exportação dos relatórios nos seguintes formatos (no mínimo): RTF, PDF, Excel, CSV, HTML.

835

22.3.14 Possibilitar a customização da identidade visual da plataforma através das seguintes características:
22.3.14.1 customização do nome das páginas do sistema;
22.3.14.2 Definição das cores utilizadas na ferramenta em cabeçalhos, botões, bordas de campos e menus;
22.3.14.3 utilização do nosso logotipo na plataforma contratada;
22.3.14.4 Definição das cores de fundo dos menus e bordas dos campos;
22.3.14.5 Esta customização deverá ser realizada através de interface intuitiva, sem a necessidade de desenvolvimento.

836

22.3.15 Permitir a modificação de aplicações já pré-existentes ou criação de novas aplicações na plataforma contratada, sem a necessidade de conhecimentos de programação;

837

22.3.16 Possibilitar a alteração/criação de novas aplicações sem a obrigatoriedade de contratação de serviços profissionais do fabricante. Esta possibilidade de alteração das aplicações já pré-existentes na plataforma não deverá estar condicionada à compra de novas licenças do produto, nem à contratação de novos serviços profissionais do fabricante;

838

22.3.17 Permitir a criação de novas aplicações ou modificação das aplicações já pré-existentes através, no mínimo, do uso das seguintes características:
22.3.17.1 criação dos seguintes tipos de campos: data, anexo, referência cruzada (que permite acesso a outras tabelas da plataforma), link externo, data de publicação inicial, log histórico, imagem, endereço IP, data da última atualização, numérico, referência a questionário, permissões de registro, status do registro, sub-formulário, texto, lista de valores;
22.3.17.2 criação de objetos de layout, tais como: abas, sessões, campo texto pré-formatado, objetos customizáveis através de uso de javascript, e gráficos de tendências que mostrem a modificação de valores de determinados campos numéricos ao longo do tempo;
22.3.17.3 Permitir o re-uso de relatórios previamente elaborados dentro dos registros existentes na ferramenta.
22.3.17.4 customização do layout da aplicação, sem qualquer necessidade de uso de programação, através do uso de recurso de arrastar e soltar (drag&drop);
22.3.17.5 granularidade no controle de acesso aos campos, bem como no acesso a objetos de layout como sessões;
22.3.17.6 definição dos menus a serem apresentados pelas aplicações disponibilizadas na plataforma contratada;
22.3.17.7 aplicação de layouts condicionais, isto é, dependendo do valor de um campo específico, pode-se exibir ou esconder uma determinada porção do layout (sessão ou campos específicos), de acordo com a necessidade;
22.3.17.8 possibilidade de filtragem da exibição de valores constantes nos campos (qualquer campo), de acordo com um critério específico. Exemplo: supondo que exista um campo chamado ?Departamento?, do tipo lista, com os seguintes valores: ?RH?, ?Marketing? e ?Vendas? e outro campo, também do tipo lista, chamado ?VLAN? com os seguintes valores: ?1?, ?2? e ?3. Neste contexto, a aplicação deverá permitir mostrar valores filtrados no campo ?VLAN?, a partir da seleção de valores no campo ?Departamento?. Caso o valor selecionado para ?Departamento? seja ?RH?, a aplicação deverá mostrar no campo ?VLAN? somente o valor ?1?, e assim por diante;
22.3.17.9 possibilidade de gerar uma notificação a partir da seleção de um determinado valor de um campo. Exemplo: supondo que exista um campo chamado ?Criticidade?, do tipo lista, com os seguintes valores: ?Alta?, ?Média? e ?Baixa?. A plataforma deverá ser capaz de gerar uma notificação, por e-mail, caso o usuário selecione a opção ?Alta? e salve o formulário. Adicionalmente, deverá ser possível modificar o layout do e-mail a ser enviado permitindo, inclusive, a utilização de logotipo e cores customizadas para manter nossa identidade visual;

839

22.3.18 Permitir a especificação de fluxos de trabalho, de forma independente, entre as diversas aplicações que compõem a plataforma selecionada. A definição do fluxo de trabalho deverá permitir criar vários estágios, sem limite de quantidade, com a possibilidade de criação de regras de avaliação de campos e associação de usuários ou grupos dependendo do resultado da avaliação destas regras;

840

22.3.19 Permitir criar campos calculados que apresentem resultados a partir de fórmulas definidas pelo administrador da plataforma. O editor de fórmulas deverá permitir a utilização de quaisquer campos pré-existentes (incluindo aqueles criados pelo administrador) e deverá validar as fórmulas à procura de inconsistências. Adicionalmente, o editor de fórmulas deverá ter uma seção de ajuda que mostre o descritivo e exemplos para cada função ou fórmula disponível para uso;

841

22.3.20 Prover motor para cálculo de indicadores com no mínimo funções matemáticas, lógicas e de texto;

842

22.3.21 Possibilitar a exibição dos resultados das fórmulas aplicadas em formato texto ou através da utilização de imagens (arquivos GIF, BMP, JPG ou PNG) permitindo, desta forma, apresentar os resultados de forma mais intuitiva. Exemplos: semáforos coloridos de cores vermelha, laranja e verde, ao invés do uso de textos simples como ?Alta?, ?Média? e ?Baixa?. Adicionalmente, deverá permitir a inclusão de novas imagens (arquivos GIF, BMP, JPG ou PNG) para utilização na exibição dos resultados de campos calculados;

843

22.3.22 Permitir a atribuição de proprietários para as aplicações criadas ou pré-existentes. Os proprietários deverão visualizar todos os registros e também deverá ser permitido a estes proprietários modificar a estrutura e direitos de acesso;

844

22.3.23 Permitir a criação de questionários dentro da plataforma contratada. Estes questionários deverão possuir, no mínimo, as seguintes características:
22.3.23.1 definição do texto da questão;
22.3.23.2 definição do peso da questão;
22.3.23.3 definição da categoria;
22.3.23.4 vínculo da questão a fontes autoritativas (exemplo: PCI, ISO 27001);
22.3.23.5 vínculo da questão a políticas, procedimentos de controle e padrões de controle;
22.3.23.6 definição das respostas possíveis (exemplo: ?Sim? ou ?Não?) e qual é a resposta correta;
22.3.23.7 exibição das alternativas das respostas através do uso de campos dropdown (escolha de somente uma opção), radio buttons (escolha de somente uma opção), check boxes (uma ou mais opções) ou listbox (uma ou mais opções);

845

22.3.24 Fornecer uma biblioteca de perguntas para uso em questionários configuráveis pelo administrador da plataforma;

846

22.3.25 Possibilitar a inclusão de novas perguntas manualmente ou através da importação de arquivos em formato texto (CSV, XML). O conteúdo de cada questão deverá ser composto no mínimo por:
22.3.25.1 Nome da pergunta, status, categoria, texto descritivo da pergunta, tipo de questão, formato de exibição, texto de ajuda;

847

22.3.26 Ordem de exibição das opções das perguntas, peso, layout de exibição, quantidades mínima e máxima de seleções, associações com Fontes Autoritativas e Padrões de Controle, definição de respostas certas e erradas, além de permitir identificar a quais questionários a questão está associada;

848

22.3.27 Possibilitar o empacotamento da aplicação para permitir o uso em outra infraestrutura da plataforma contratada, caso seja necessário. Este pacote deverá ter uma estrutura parecida com arquivo zip. Dentro deste empacotamento de aplicação, deverão ser incluídos, no mínimo, os seguintes componentes: aplicações, questionários, painéis de indicadores e papéis de acesso.

849

22.3.28 Para aplicações ou conjunto de aplicações empacotadas, a instalação em outra infraestrutura deverá ser possibilitada de forma simples a partir da interface gráfica da plataforma, sem a necessidade de uso de linha de comando;

850

22.3.29 Permitir a integração com outros sistemas através da importação de dados estruturados. A plataforma contratada deverá permitir a importação de dados, no mínimo, através dos seguintes métodos:
22.3.29.1 Arquivos CSV. Deverá permitir a importação de arquivos delimitados (CSV). Também deverá permitir a definição dos delimitadores de registros, de campos, de listas, além da possibilidade de definir sequências de ?escapes?. A plataforma deverá permitir a definição da sequência numérica de registros que poderão ser ignorados durante a importação;
22.3.29.2 Arquivos XML ou JSON. Deverá permitir a importação de arquivos XML ou JSON e deverá permitir a utilização de definições XSLT, que possibilitam realizar transformações no arquivo XML/JSON original;
22.3.29.3 Obtenção de arquivos, no mínimo, através dos protocolos HTTP, FTP, Consultas diretas a Bancos de Dados (exemplo: Oracle, SQL Server, etc) e leitura em serviços de Correio Eletrônico (POP3 e IMAP4);
22.3.29.4 Execução de JavaScript para execução de rotinas de obtenção de informações.

851

22.3.30 Permitir manter, renomear ou apagar os arquivos originais após o processamento de importação dos dados;

852

22.3.31 Estabelecer o mapeamento entre os campos originais e os campos específicos das aplicações da plataforma contratada, independentemente do método de transporte ou formato dos arquivos estruturados (CSV, TXT, XML, JSON, dentre outros);

853

22.3.32 Permitir a inclusão de novos registros ou atualização de registros já existentes, de acordo com um campo chave a ser determinado;

854

22.3.33 Permitir o agendamento das operações de importação de dados através da indicação da frequência (minutos, horas, dias, semanas, meses), incluindo a definição de data e horário iniciais do agendamento, bem como a definição de time zone;

855

22.3.34 Possibilitar a publicação agendada de registros em Bancos de Dados externos à plataforma contratada;

856

22.3.35 Fornecer uma API de Web Services para possibilitar a interação com aplicações externas. Esta API deverá ser disponibilizada, juntamente com a documentação, pelo fabricante da plataforma contratada;

857

22.3.36 Fornecer API REST para possibilitar a interação com aplicações externas. Esta API deverá ser disponibilizada, juntamente com a documentação, pelo fabricante da plataforma contratada;

858

22.3.37 Permitir a integração com soluções de Business Intelligence e Data Visualization (Ex: Tableau) por meio de uma API exclusiva e simplificada para esse fim;

859

22.3.38 Permitir a criação de relatórios customizados a partir de templates de arquivos. Estes templates deverão permitir a definição de rodapés, logotipo, identidade visual, e conteúdo variável, em layouts 100% customizáveis;

860

22.3.39 Permitir a disponibilização de relatórios por via de serviços Web para incorporação em outras páginas Web;

861

22.3.40 Permitir a criação de relatórios customizados, a partir da execução de pesquisas nas bases de dados. A criação destes relatórios deverá seguir os seguintes critérios:
22.3.40.1 Utilização de qualquer campo que componha uma determinada aplicação dentro da plataforma contratada, para compor o resultado da pesquisa;
22.3.40.2 Filtragem de registros a partir de critérios de avaliação compostos por: campo a ser avaliado, operador lógico (ex.: contém/não contém) e o valor a ser filtrado;
22.3.40.3 Ordenação dos resultados a partir de um determinado critério a ser definido pelo administrador da plataforma contratada. Deverá permitir a ordenação ascendente ou descendente;
22.3.40.4 Agregação dos resultados de tal forma a permitir a geração de dados estatísticos. Deverá permitir o agrupamento lógico de um determinado campo e a geração de dados estatísticos tais como: média, soma, valores mínimos, valores máximos, ou ainda agrupamento por meio de critérios de data como dia, semana, mês, etc;

862

22.3.41 Possibilitar a customização dos campos a serem exibidos após a seleção de algum item de tabela ou gráfico (drill down). O conteúdo exibido poderá ser ordenado por qualquer campo a critério do administrador da plataforma contratada;

863

22.3.42 Permitir a criação de relatórios em formato de tabela, gráfico ou ambos;

864

22.3.43 Permitir a utilização dos relatórios (formato de tabela ou gráfico) em dashboards customizáveis;

865

22.3.44 Suportar a criação de relatórios gráficos, com as seguintes características:
22.3.44.1 Opções mínimas de tipos de gráficos: barras verticais, barras horizontais, histograma, pizza, velocímetro, linha, radar, mapa de calor, bolhas;
22.3.44.2 gráficos em 2D ou 3D;
22.3.44.3 customização de cores e transparência;
22.3.44.4 Suportar a criação de relatórios em formato de tabela, com as seguintes características:
22.3.44.5 customização das colunas (campos), incluindo a definição de filtros e ordenação dos resultados;
22.3.44.6 possibilidade de exibição dos resultados das fórmulas aplicadas em formato texto ou através da utilização de imagens (arquivos GIF, BMP, JPG ou PNG) permitindo, desta forma, apresentar os resultados de forma mais intuitiva. Exemplos: semáforos coloridos de cores vermelha, laranja e verde, ao invés do uso de textos simples como ?Alta?, ?Média? e ?Baixa?. Adicionalmente, deverá permitir a inclusão de novas imagens (arquivos GIF, BMP, JPG ou PNG) para utilização na exibição dos resultados de campos calculados;

866

22.3.45 Permitir a exportação de relatórios, no mínimo, nos seguintes formatos: RTF, PDF, Excel, CSV, HTML e XML;

867

22.3.46 Permitir agendar a criação automática de relatórios com as seguintes características:
22.3.46.1 especificação de campo e-mail de origem e nível de importância;
22.3.46.2 definição da recorrência incluindo, no mínimo, frequências diárias, semanais, mensais e trimestrais, além da definição de time zone;
22.3.46.3 indicação de destinatários do relatório por usuários e/ou grupos.

868

22.3.47 Possibilitar o controle de acesso aos relatórios e dashboard através da definição de grupos/usuários;

869

22.3.48 Permitir criar dashboards customizados, com possibilidade de ajustar tamanho dos gráficos de indicadores, incluindo o rearranjo destes gráficos, de acordo com a necessidade;

870

22.3.49 Possibilitar a inclusão de vários relatórios de indicadores no mesmo componente que permite sua visualização nos dashboards;

871

22.3.50 Possibilitar a customização de layout dos templates de notificação, de tal forma a permitir a utilização de templates com identidade visual e conteúdo distintos, para uso em fluxos de trabalho disponíveis na plataforma contratada;

872

22.3.51 Permitir a criação de componentes totalmente customizados no dashboard, através do uso de linguagem HTML/javascript;

873

22.3.52 Possibilitar a criação de vários dashboards diferentes de acordo com as funcionalidades contratadas. Exemplo: Risco, Conformidade, Políticas, Incidentes, etc, cada um com seu próprio dashboard;

874

22.3.53 Permitir a configuração de aviso de recebimento de e-mail (return receipt), quando do uso de notificações;

875

22.3.54 Possibilitar a criação de campanhas de treinamento e conscientização dentro da plataforma contratada com, no mínimo, as seguintes características:
22.3.54.1 definição de um texto explicativo a respeito da campanha em questão e inclusão de questionários para verificação do entendimento dos usuários;
22.3.54.2 definição do período de aplicação da campanha de conscientização, incluindo a possibilidade de envio de lembretes e permissão para pular perguntas do questionário;
22.3.54.3 definição dos destinatários das campanhas de conscientização.

876

22.3.55 Permitir acompanhar os resultados das campanhas de conscientização através da geração de relatórios que mostrem o controle das respostas por usuários, incluindo o tipo e data das respostas;

877

22.3.56 Permitir a visualização gráfica do relacionamento entre os diversos objetos que compõem uma determinada informação. Exemplo: A partir de um incidente, deverá ser possível observar o relacionamento deste incidente com unidades de negócio, investigações, tarefas, planos de remediação, registros de risco, etc, de maneira visual (diagrama);

878

22.3.57 A ferramenta de visualização gráfica do relacionamento entre os objetos deverá permitir a escolha de trechos do diagrama através de uma janela minimizada de visualização. Esta mesma janela também deverá permitir o zoom para aumentar ou diminuir detalhes sobre os objetos que compõem o diagrama;

879

22.3.58 A ferramenta de visualização gráfica do relacionamento entre os objetos deverá permitir o drill down em cada um dos objetos que compõem o diagrama.

880

22.3.59 Em relação à visualização gráfica do relacionamento entre os objetos, deve-se permitir a visualização dos objetos da seguinte forma:
22.3.59.1 Hierárquica;
22.3.59.2 Circular;
22.3.59.3 Dirigida.

881

22.3.60 Permitir a inclusão, manutenção e exclusão de objetos e seus atributos/características com pelo menos 5 (cinco) níveis hierárquicos, assim como a vinculação de objetos a outros objetos, como, por exemplo, unidades, processos, produtos, serviços, objetivos corporativos, indicadores, ativos de TI, vulnerabilidades, ameaças, riscos, controles, e seus atributos;

882

22.3.61 Permitir a edição do conteúdo dos campos apresentados em relatórios, diretamente nas linhas, sem a necessidade de entrar em cada registro para fazer as alterações;

883

22.3.62 O analista deverá ter a opção de habilitar ou não a edição do conteúdo dos campos diretamente nas linhas.

884

22.3.63 Possuir logs (eventos), possibilitando a auditoria em todas as partes da Solução, armazenando as credenciais dos usuários responsáveis por cada modificação e/ou ação realizada na solução (inclusive, mas não limitado à emissão de relatórios, análises, modificação de normas e processos);

885

22.3.64 Permitir auditoria em todos os componentes da Solução, armazenando os usuários da Solução e suas respectivas ações por tempo indeterminado;

886

22.4 ESTRUTURA ORGANIZACIONAL

887

22.4.1 Permitir a inclusão de informações relativas a Perfil da Empresa. Deve-se incluir, no mínimo, as seguintes informações:
22.4.1.1 Nome, informação de website, número de empregados, descrição;
22.4.1.2 status de conformidade (quantidade de controles aplicados, percentual de controles em não conformidade, cálculo de rating de conformidade, riscos inerente e residual. Estes cálculos deverão ser realizados através do uso de fórmulas customizáveis, de tal forma a permitir sua modificação caso seja necessário;
22.4.1.3 dados de infraestrutura (quantidade de produtos e serviços, aplicações, processos de negócios, dispositivos e localidades);
22.4.1.4 detalhes sobre as divisões que pertencem à empresa;
22.4.1.5 dados financeiros e endereço;
22.4.1.6 relação de contatos;

888

22.4.2 Permitir a inclusão de informações relativas a Divisão. Deve-se incluir, no mínimo, as seguintes informações: contatos, detalhes de infraestrutura, perfil financeiro, gestão da conformidade, tolerância e visão geral de risco desta divisão, além de permitir uma ligação com unidades de negócios e produtos e serviços;

889

22.4.3 Permitir a inclusão de informações relativas a Unidades de Negócios. Deve-se incluir, no mínimo, as seguintes características:
22.4.3.1 Descrição;
22.4.3.2 Líder da unidade;
22.4.3.3 Contatos chave;
22.4.3.4 Detalhes sobre infraestrutura;
22.4.3.5 Métricas;
22.4.3.6 Gestão de risco, permitindo estabelecer a tolerância a riscos da unidade, bem como a visão geral de riscos;
22.4.3.7 Visão de conformidade e auditoria.

890

22.4.4 Permitir a inclusão de informações relativas a Processos de Negócios. Deve-se incluir, no mínimo, as seguintes características: tipo de processo, objetivo de negócio, descrição, rating de criticidade, gestores do processo de negócios, ligação com Análise de Impacto de Negócios (BIA), produtos/serviços, ativos de informação, localidades, terceiros, contas contábeis e infraestrutura (aplicações e dispositivos);

891

22.4.5 Permitir a inclusão de informações relativas a Contatos. Deve-se incluir, no mínimo, as seguintes características: nome completo, primeiro nome, sobrenome, título, departamento, unidade de negócios, hierarquia, tipo, endereço completo, papel em BIA (Business Impact Analysis), gestão de riscos e continuidade de negócios;

892

22.4.6 Permitir a inclusão de informações relativas a Instalações. Deve-se incluir, no mínimo, as seguintes características: descrição, rating de criticidade, tipo de localidade, gestores, localização, contatos e contexto de negócios, infraestrutura (processos de negócios, dispositivos, fornecedores), rating de risco, planos de continuidade e contexto de privacidade;

893

22.4.7 Permitir a inclusão de informações relativas a Dispositivos. Deve-se incluir, no mínimo, as seguintes características: descrição, categoria, departamento, rating de risco/conformidade/criticidade, gestores, detalhes tecnológicos (ex.: número serial, modelo, fabricante, entre outros), e ligação com contexto de negócios e infraestrutura (processos de negócios, aplicações, localidades);

894

22.4.8 Permitir a inclusão de informações relativas a Aplicações. Deve-se incluir, no mínimo, as seguintes características: descrição, tipo de aplicação, tempo esperado de recuperação (RTO), objetivo de ponto de recuperação (RPO), rating de criticidade, gestores, detalhes de licenciamento, contatos e contexto de negócios e infraestrutura (processos de negócios, localidades);

895

22.5 APONTAMENTOS E PLANOS DE AÇÃO

896

22.5.1 Deverá permitir a geração automática de apontamentos. Cada apontamento deverá conter, no mínimo, as seguintes informações:
22.5.1.1 Status;
22.5.1.2 Categoria;
22.5.1.3 Criticidade;
22.5.1.4 Identificação dos questionários que contenham as perguntas geradoras dos apontamentos;
22.5.1.5 Identificação de riscos registrados, fontes autoritativas, políticas, padrões de controles e controles;
22.5.1.6 Identificação clara de qual o motivo para geração do apontamento.

897

22.5.2 Para gestão dos apontamentos a plataforma deverá permitir a definição dos responsáveis pela resolução e os revisores, incluindo datas de envio e revisão;

898

22.5.3 Em relação a gestão dos apontamentos deverá ser possível aceitar ou remediar o risco. Caso a opção seja remediar o risco, a plataforma deverá permitir a definição da remediação e o vínculo com um Plano de Remediação;

899

22.5.4 A plataforma deverá possibilitar a criação e gestão de Planos de Ação, de tal forma a permitir o acompanhamento de tarefas necessárias para mitigação dos apontamentos descobertos e a documentação das ações;

900

22.5.5 Os Planos de Ação deverão possibilitar o acompanhamento de correções para as seguintes funcionalidades, dentro da mesma aplicação: controles, políticas, vulnerabilidades, análises de risco e apontamentos; 

901

22.5.6 Deverá possuir um fluxo automatizado que monitore o andamento das ações de correção e possibilite o encerramento de um apontamento, tão logo as ações de correção sejam concluídas.

902

22.6 Governança de Dados

903

22.6.1 A plataforma deverá permitir a catalogação de atividades de processamento de dados pessoais, bem como controles apropriados sobre estas atividades.

904

22.6.2 As atividades de processamento de dados pessoais deverão possuir, minimamente, as seguintes informações:
22.6.2.1 Nome da atividade de processamento;
22.6.2.2 Status;
22.6.2.3 País e região;
22.6.2.4 Descrição geral;
22.6.2.5 Principais envolvidos, sendo: Custodiante dos dados, DPO/Encarregado, controlador da informação e suas respectivas responsabilidades;
22.6.2.6 Permitir o relacionamento entre atividades de processamento, de modo a construir uma cadeia de processamento de informações;
22.6.2.7 Processos de negócio associados;
22.6.2.8 Ativos de Informação;
22.6.2.9 Sistemas / Aplicações;
22.6.2.10 Dispositivos;
22.6.2.11 Localidades;
22.6.2.12 Termos de Aviso e consentimento, que devem ser compostos, minimamente por: Nome, Responsável, Status, inicio de vigência, região, descrição e texto do termo de consentimento;
22.6.2.13 Período de retenção, que deve conter, minimamente: Nome, status, responsável, país e região, período de retenção, data de aprovação, inicio de vigência, aplicável e descrição geral;
22.6.2.14 Deve permitir a identificação categorias de dados processados, meios de captura e áreas que terão acesso aos dados. Estas capturas podem variar ao longo do tempo, sendo necessário que a ferramenta consiga guardar todo o histórico relacionado;
22.6.2.15 Associação com processadores externos/terceiros que terão acesso aos dados;
22.6.2.16 Identificação de políticas e controles de salvaguarda dos dados;

905

22.7 Gerenciamento do Programa de Privacidade

906

22.7.1 Permitir a aplicação de questionários para avaliação de dados pessoais existentes ou manipulados por sistemas da organização, de modo a identificar: a origem dos dados, região, tipo de dado, motivo do uso, dentre outros;

907

22.7.2 Possuir questionário pré-estabelecido para identificação do impacto de privacidade das respectivas atividades de processamento de dados pessoais. Este questionário deve conter, minimamente, questões relacionadas à: coleta dos dados, uso dos dados, compartilhamento com terceiros e segurança dos dados;

908

22.7.3 Permitir a criação de projetos de proteção de dados que permita a associação, em um único projeto, de diversas atividades de processamento de dados pessoais;

909

22.7.4 A partir da associação das atividades de processamento de dados pessoais, a ferramenta deve, de forma automatizada, popular todo o contexto e escopo do projeto, como: Processos de negócio, Áreas de Negócio, Localidades, dispositivos, sistemas, ativos de informação e terceiros;

910

22.7.5 Permitir a definição do DPO/Encarregado responsável pelo projeto;

911

22.7.6 Identificação das salvaguardas existentes para as atividades de processamento;

912

22.7.7 Permitir a aplicação de questionários de Avaliação de Impactos de proteção de dados para identificação do nível de risco do projeto. Este nível de risco deverá ser calculado automaticamente a partir da aplicação de perguntas relacionadas a temas como: objetivo e operação da atividade de processamento, necessidade da atividade de processamento e direitos do titular dos dados;

913

22.7.8 Possibilitar o controle e acompanhamento de comunicações realizadas junto ao regulador, possibilitando o registro de consultas ou dúvidas enviadas ao regulador, ou eventuais incidentes ocorridos na operação. 

914

22.8 GOVERNANÇA DE TERCEIROS

915

22.9 Catálogo dos Fornecedores

916

22.9.1 Permitir criar e manter um cadastro dos fornecedores. Este cadastro deverá conter, no mínimo, as seguintes informações:
22.9.1.1 Nome do fornecedor e status deste;
22.9.1.2 Relação das subsidiárias;
22.9.1.3 Contatos responsáveis pelo relacionamento;
22.9.1.4 Indústrias primária e secundária;
22.9.1.5 Data indicando o início do relacionamento;
22.9.1.6 Endereço completo;
22.9.1.7 Informações dos contatos;
22.9.1.8 Localidades da empresa atendidas pelo fornecedor;
22.9.1.9 Identificação de controles aplicáveis ao fornecedor;
22.9.1.10 Possibilidade de anexar documentos comprobatórios;
22.9.1.11 Estabelecimento de vínculo do perfil do fornecedor com contratos, contratos de serviços e projetos;
22.9.1.12 Estabelecimento de vínculo com análise de risco;
22.9.1.13 Estabelecimento de vínculo com análise financeira, quarteirizados e seguros.

917

22.9.2 Permitir criar e manter informações contratuais. Dentre as informações relativas a contratos deve-se garantir, no mínimo, os seguintes dados:
22.9.2.1 Nome do contrato e status;
22.9.2.2 Descrição e valor do contrato;
22.9.2.3 Categoria;
22.9.2.4 Data de elaboração e expiração;
22.9.2.5 Workflow de envio, incluindo responsável, status e data;
22.9.2.6 Workflow de aprovação, incluindo responsável, status e data;
22.9.2.7 Informações para revisão contratual;
22.9.2.8 Termos chave contratuais;
22.9.2.9 Possibilidade de anexar documentos comprobatórios.

LOTE 7 ? ITEM 2 ? SERVIÇO DE INSTALAÇÃO, CONFIGURAÇÃO, SUPORTE TÉCNICO E GARANTIA PELO PERÍODO DE 60 MESES

918

23.1 Os serviços de suporte técnico deverão contemplar as manutenções corretivas e evolutivas para a solução contratada e não poderão acarretar custos adicionais ao CONTRATANTE, além do contratado.

919

23.2 Entende-se por ?manutenção corretiva? uma série de procedimentos destinados a recolocar a solução em pleno estado de funcionamento, removendo definitivamente os defeitos apresentados.

920

23.3 Entende-se por ?manutenção evolutiva? o fornecimento de novas versões e/ ou releases corretivas e/ou evolutivas de softwares que compõem a solução corporativa do software, lançadas durante a vigência deste contrato.

921

23.4 Durante o período de vigência do contrato o CONTRATANTE terá direito, sem ônus adicional, a todas as atualizações de versão e releases dos softwares e firmwares que fazem parte da solução ofertada.

922

23.5 Compreende-se nesta etapa a instalação de equipamentos, sistemas, softwares e aplicativos da CONTRATANTE nos PRODUTOS fornecidos, bem como a migração das configurações existentes na CONTRATANTE para os PRODUTOS fornecidos pela CONTRATADA;

923

23.6 A etapa de instalação, configuração e migração deve acontecer de forma gradual e transparente, de acordo com a conveniência da CONTRATANTE;

924

23.7 Durante a etapa de instalação, configuração e migração, os PRODUTOS fornecidos pela CONTRATADA serão colocados em plena operação, em condições reais de produção;

925

23.8 Durante esta etapa, a equipe da CONTRATADA deverá estar presente, nos horários de testes, implantação e migração, definidos pela CONTRATANTE;

926

23.9 As atividades de instalação, configuração e migração, de acordo com a necessidade, poderão ser executadas em horário comercial, período noturno ou final de semana;

927

23.10 A CONTRATADA deve garantir que a migração não irá alterar o funcionamento dos serviços instalados na unidade objeto da migração, sem a prévia autorização da CONTRATANTE;

928

23.11 A CONTRATADA deverá, com a supervisão e aprovação da CONTRATANTE, planejar e realizar a instalação e configuração dos softwares com total interoperabilidade operacional com ambiente atual da CONTRATANTE, sem impacto no ambiente de produção;

929

23.12 Durante a implantação e integração, a CONTRATADA deverá realizar, entre outras atividades: instalação de softwares, acompanhamento de migrações de regras e políticas, elaboração e execução de scripts, análise de performance, tunning, resolução de problemas e implementação de segurança;

930

23.13 Para instalação, configuração e migração devem ser consideradas as seguintes premissas:

931

23.13.1 Caberá a CONTRATADA a disponibilização de todos os recursos necessários, tais como hardwares, softwares, recursos humanos necessários à instalação dos PRODUTOS;

932

23.13.2 Caberá CONTRATADA a disponibilização de ferramentas / scripts de retorno imediato ao estado original da estrutura da CONTRATADA caso a instalação e migração dos produtos / softwares da CONTRATADA apresente falha.

933

23.14 A CONTRATADA realizará adequação/configuração dos PRODUTOS fornecidos ao longo da etapa de migração e realização de novas configurações;

934

23.15 A CONTRATADA deverá fornecer todas as licenças necessárias dos PRODUTOS ofertados e dos elementos adicionais que se fizerem necessários à instalação/migração e ao pleno funcionamento do ambiente de produção.

935

23.16 Serviço de suporte técnico on-site

936

23.16.1 O atendimento para solução ofertada será do tipo telefônico, 24 (vinte e quatro) horas por dia e 7 (sete) dias por semana. Deverá ser realizado por profissionais especializados e deverá cobrir todo e qualquer defeito apresentado;

937

23.16.2 O tempo para o atendimento inicial de suporte a solução será de 2 (duas) horas, após a abertura do chamado, e o prazo máximo para solução deverá ser de 10 (dez) dias corridos, contados da abertura do chamado, desde que a falha não comprometa o funcionamento da solução.

938

23.17 Requisitos de Garantia e Manutenção

939

23.17.1 A garantia de funcionamento da solução ofertada deverá ser pelo período de 60 meses, contada a partir da data de emissão do Termo de Recebimento Definitivo do equipamento.

940

23.17.2 A CONTRATADA deverá permitir o registro de solicitações de atendimento técnico presencial, em regime de garantia, ou técnico à distância, durante todo o período da garantia.

941

23.17.3 O registro de solicitações de atendimento técnico presencial ocorrerá através de central de atendimento, por meio de ligação gratuita ou ligação local ao endereço de entrega, com funcionamento 24 (vinte e quatro) horas por dia e 7(sete) dias por semana, sendo também aceitável o registro de solicitação de atendimento técnico presencial pela Internet.

942

23.17.4 Caso a CONTRATADA não possua central de atendimento por telefone para registro de solicitações atendimento técnico presencial, deverá disponibilizar outro número que permita o registro das solicitações, disponível 24 (vinte e quatro) horas por dia e sete dias por semana.

943

23.17.5 As solicitações de atendimento técnico presencial partirão da gestão ou fiscalização contratual e deverão ser lançadas em registro próprio pela CONTRATADA.

944

23.17.6 Para cada solicitação de atendimento técnico presencial deverá ser gerado um identificador único e sequencial, para fins de controle e acompanhamento da solicitação.

945

23.17.7 O atendimento técnico presencial deverá ser provido 24 (vinte e quatro) horas por dia e sete dias por semana para os equipamentos e softwares instalados na CONTRATANTE.

946

23.17.8 O prazo máximo para que se inicie o atendimento técnico presencial na SEDE da CONTRATANTE, será de até 8 (oito) horas, contado a partir do momento em que for realizada a solicitação de atendimento técnico pela CONTRATANTE, de acordo com o Acordo de nível de serviço estabelecido.

947

23.17.9 (*) Entende-se por início do atendimento técnico presencial o momento de chegada do técnico à edificação onde está instalada a solução.

948

23.17.10 (*) Entende-se por término do atendimento técnico presencial a disponibilidade do equipamento para uso em perfeitas condições de funcionamento, na edificação onde estiver instalada, atestado pela CONTRATANTE.

949

23.17.11 O atendimento técnico presencial poderá envolver manutenção preventiva ou corretiva, com a substituição de peças, componentes e materiais, atualizações de BIOS, firmware e drivers, sem ônus adicional à CONTRATANTE.

950

23.17.12 (*) Entende-se por manutenção preventiva aquela que é realizada periodicamente para evitar paradas e manter na solução em condições de trabalho normal, programada em comum acordo com a CONTRATANTE, de modo a evitar ao máximo a indisponibilidade dos equipamentos contratados.

951

23.17.13 Na realização da manutenção preventiva a CONTRATADA deverá realizar revisões, testes e adequações nas configurações e regras aplicadas nos equipamentos e nas ferramentas de gerenciamento de senhas, visando a garantir o melhor desempenho da solução CONTRATADA, assim como realizar a verificação de sobreposição e/ou inconsistência das regras de segurança. A CONTRATADA também deverá analisar as condições de instalação e acondicionamento do hardware com o objetivo de verificar se as condições físicas e ambientais estão adequadas para o bom funcionamento da solução.

952

23.17.14 Serão executadas até 4 (quatro) manutenções preventivas a cada ano do período coberto pelo regime de garantia.

953

23.17.15 As manutenções preventivas serão realizadas exclusivamente em Brasília/DF.

954

23.17.16 (*) Entende-se por manutenção corretiva a série de procedimentos destinados a recolocar as soluções em seu perfeito estado de uso.

955

23.17.17 O tempo máximo de paralisação tolerável dos equipamentos e softwares é de até 24 (vinte e quatro) horas, contado a partir do momento em que for realizada a solicitação de atendimento técnico pela CONTRATANTE, desde que a falha não comprometa a disponibilidade da solução (falha simultânea em ambos os nós do cluster) quando instalado em configuração de alta disponibilidade.

956

23.17.18 Ao final de cada atendimento técnico presencial, a CONTRATADA deverá apresentar ?Relatório de Atendimento? ou documento similar, contendo a data, hora de chamada, início e término do atendimento, identificação do problema, providencias adotadas e outras informações que sejam pertinentes, a ser assinada pela CONTRATANTE e pelo responsável pela manutenção.

957

23.17.19 A CONTRATADA também deverá prestar atendimento técnico à distância, por técnicos devidamente habilitados.

958

23.17.20 O atendimento técnico à distância ocorrer. através de central, acionada por meio de ligação gratuita ou ligação local, com funcionamento das 24(vinte e quatro) horas por dia, 7 (sete) dias por semana, todos os dias do ano, inclusive sábados, domingos e feriados, com início de atendimento e prazo de solução de acordo com o nível de severidade exigido para o caso, sendo também aceitável o encaminhamento de solicitações por e-mail ou por chamadas para telefones móveis.

959

23.17.21 As solicitações de atendimento técnico à distância partirão igualmente da gestão ou fiscalização contratual e prescindem de lançamento em registro próprio pela CONTRATADA.

960

23.18 A CONTRATADA deverá realizar o atendimento respeitando o nível de severidade e criticidade conforme os índices abaixo:


Criticidade Descrição Prazo Máximo de Atendimento
Severidade 1 (Alta) Sistema parado ou produto inoperante com impacto nas operações críticas de negócio. Exemplos: Servidor de produção ou outro sistema inicial está inativo. Parte substancial dos dados essenciais corre risco de perda ou corrupção. Operações relacionadas ao negócio foram afetadas, falha que compromete a integridade geral do sistema ou dos dados. Em até 6 (seis) horas um técnico do fornecedor deve entrar em contato para realizar o atendimento, podendo ser de forma remota ou presencial.
Severidade 2 (Média) Alto impacto no ambiente de produção ou grande restrição de funcionalidade. Exemplo: Ocorreu um problema no qual um recurso importante foi gravemente danificado. As operações podem continuar de forma limitada, embora a produtividade em longo prazo possa ser afetada negativamente. O defeito não gera impacto ao negócio. Exemplo: Ocorreu um erro que causou impacto negativo limitado na operações. Em até 8 (oito) horas um técnico do fornecedor deve entrar em contato para realizar o atendimento, podendo ser de forma remota ou presencial.
Severidade 3 (Baixa)

O problema é pequeno, de caráter preventivo e operacional. Exemplos:

O problema não afetou as operações da contratante negativamente;

Atualização preventiva de softwares e firmwares agendados.

Encaminhamento de solicitações e ou sugestões para novos recursos ou aprimoramento e configuração do software licenciado.

Em até 8 (oito) horas um técnico do fornecedor deve entrar em contato para realizar o atendimento, podendo ser de forma remota ou presencial.


LOTE 7 ? ITEM 3 - TREINAMENTO DA SOLUÇÃO

961

24.1. O treinamento deverá ser realizado no Brasil, em português, na modalidade presencial, em local fornecido pela CONTRATADA;

962

24.2. O local do treinamento deverá possuir todas as facilidades para um perfeito desempenho das atividades, incluindo os recursos áudio visuais e laboratórios necessários;

963

24.3. Caberá à CONTRATADA prover todos os recursos didáticos necessários à realização do treinamento, incluindo (mas não se restringindo a) sala de aula, data show, apostilas, bloco de anotações e caneta para cada treinando;

964

24.4. Deverá ser fornecido treinamento na solução adquirida de no mínimo 20 horas, para até 08 (oito) pessoas, designadas pela Contratante, em até 15 dias após o término da instalação, a fim de repassar as informações necessárias dos produtos adquiridos, incluindo detalhamento do produto e seus aspectos gerais de configuração e operação com instrutor certificado pela fabricante dos produtos para realizar os treinamentos, comprovado mediante apresentação de certificado expedido pela CONTRATADA da solução;

965

24.5. O treinamento deverá cobrir conhecimentos necessários para instalação, administração, configuração, otimização, resolução de problemas e utilização da solução;

966

24.6. A CONTRATADA deverá fornecer material didático individual, de maneira impressa ou digital;

967

24.7. O treinamento deverá englobar a realização de laboratórios práticos, fornecidos pela CONTRATADA, para configuração e execução de exercícios práticos na mesma versão dos produtos ofertados;

968

24.8. Os custos referentes ao deslocamento, hospedagem e alimentação dos instrutors serão de responsabilidade da CONTRATANTE;

969

24.9. Após a finalização do treinamento, a CONTRATADA, deverá emitir certificado individual de conclusão, para todos os participantes;

970

24.10. O certificado de conclusão deverá ser emitido em português brasileiro.

LOTE 8 ? ITEM 1 ? SERVIÇO DE TESTE DE INTRUSÃO

971

25.1 O serviço de teste de intrusão consiste na execução de 4 atividades de teste de intrusão a cada ano de contrato com, no mínimo, 40 horas de serviço cada teste;

972

25.2 Os testes de intrusão serão executados sob demanda e com escopo previamente definido e combinado com a AEB em reunião para elaboração de ordem de serviço;

973

25.3 A execução dos testes de intrusão poderá ser realizada presencialmente na sede da AEB, ou remotamente, em forma previamente combinada com e autorizada pela AEB;

974

25.4 A CONTRATADA deve assinar e entregar a AEB na reunião para elaboração da ordem de serviço termo de confidencialidade e sigilo;

975

25.5 A exploração de vulnerabilidades, parte do teste de invasão, deve ser feita apenas, e exclusivamente, sob demanda prévia da AEB;

976

25.6 As atividades do teste de intrusão devem ser executadas por profissionais com experiência comprovada com testes de intrusão e pelo menos duas das seguintes certificações:

977

25.6.1 EXIN Ethical Hacking Foundation;

978

25.6.2 CEH (EC-Council Certified Ethical Hacker) v10;

979

25.6.3 CompTIA PenTest+;

980

25.6.4 GPEN: GIAC Certified Penetration Tester;

981

25.6.5 GWAPT: GIAC Web Application Penetration Tester;

982

25.6.6 Offensive Security Certified Professional (OSCP);

983

25.6.7 Offensive Security Certified Expert (OSCE);

984

25.7 A contratada deverá usar as mesmas técnicas que um atacante usaria e dessa forma deve se manter atualizada com as mais recentes técnicas de ataques;

985

25.8 O teste de intrusão deverá utilizar análise de caixa branca, preta e cinza com relatório analítico ao final da atividade;

986

25.9 Devem ser realizados mapeamentos e sondagens da infraestrutura, com o objetivo de realizar a varredura por hosts, regras de firewall e detecção de serviços em execução;

987

25.10 Deverá ser utilizada uma solução para a análise e gestão de vulnerabilidades, desde que não seja software livre;

988

25.11 A solução deverá permitir o cadastramento de varreduras de até 20 (vinte) aplicações web e, no mínimo, 450 ativos de redes (ativos TCP/IP);

989

25.12 A solução deve ser capaz de realizar varreduras (scans) de vulnerabilidades, avaliação de configuração e conformidade (baseline e compliance) e indícios e padrões de códigos maliciosos conhecidos (malware);

990

25.13 A solução deve ser licenciada para, no mínimo, 50 scanners ativos;

991

25.14 A solução deve atribuir a todas as vulnerabilidades uma severidade baseada no CVSSv2 score;

992

25.15 A solução deve possuir um sistema de pontuação e priorização das vulnerabilidades;

993

25.16 A solução deve possuir uma API abrangente para automação de processos e integração com aplicações terceiras;

994

25.17 A solução deve fornecer uma lista com as principais recomendações para o ambiente com foco na redução da exposição cibernética da organização;

995

25.18 A solução deve ser capaz de executar relatórios manuais e periódicos de acordo com a frequência estabelecida pelo administrador;

996

25.19 A solução deve suportar a criação de relatórios criptografados (protegidos por senha configurável);

997

25.20 A solução deve realizar varreduras de vulnerabilidades em aplicações Web, cobrindo no mínimo, mas não limitando-se a base de ameaças apontadas pelo OWASP Top 10;

998

25.21 A solução deverá capaz de executar varreduras em sistemas web através de seus endereços IP ou FQDN (DNS);

999

25.22 A solução deverá também permitir somente a execução da função crawler, que consiste na navegação para descoberta das URLs existentes na aplicação;

1000

25.23 A solução deve ser capaz de excluir determinadas URLs da varredura através de expressões regulares;

1001

25.24 A solução deve exibir os detalhes e evidências para cada vulnerabilidade encontrada; 25.25 A solução deve informar, para cada vulnerabilidade encontrada, as soluções propostas para mitigação ou remediação;

1002

25.26 Devem ser realizados, testes de força bruta, com o objetivo de detectar serviços de controle de acesso ou autenticação vulnerável a ataques;

1003

25.27 Devem ser realizadas, análises do tráfego da rede, com o intuito de obter informações sensíveis;

1004

25.28 Deve ser comunicado a todo o momento a AEB sobre o andamento da análise, inclusive, se durante o teste de invasão encontrar alguma questão crítica;

1005

25.29 Toda e qualquer modificação/alteração da configuração de um ativo no andamento do teste deve ser documentada e comunicada imediatamente;

1006

25.30 Os tipos de teste de intrusão a serem demandados são:

1007

25.30.1 Teste de serviços ou ativos de rede;

1008

25.30.2 Teste de aplicações web e WebServices;

1009

25.31 Devem ser realizados testes para cobrir todos os itens do OWASP Top 10 e sua atualizações;

1010

25.32 O teste de invasão em aplicações WEB deve atender aos seguintes requisitos:

1011

25.32.1 Devem ser realizados testes de invasão do tipo ?Cross Site Scripting (XSS)?;

1012

25.32.2 Devem ser realizados testes de invasão do tipo ?Injeção de Código?, com o objetivo de verificar se dados podem ser enviados sem nenhum tipo de validação, o que possibilita a execução de instruções maliciosas;

1013

25.32.3 Devem ser realizados testes de invasão do tipo ?Inclusão Remota de Arquivos (RFI)?, pois essa falha pode permitir que um usuário malicioso execute o seu próprio arquivo;

1014

25.32.4 Devem ser realizados testes de invasão do tipo ?Referência Direta a Objetos?;

1015

25.32.5 Devem ser realizados testes de invasão do tipo ?Vazamento de informações?, onde deve ser verificada a exposição inadvertida de informações sobre a aplicação e o servidor que a hospeda;

1016

25.32.6 Deve ser realizado teste de invasão de ?Gerenciamento de Sessões?;

1017

25.32.7 Deve ser realizados testes de canais de comunicação, com o objetivo de verificar a exposição de dados sensíveis na comunicação entre servidores e clientes;

1018

25.33 O teste de intrusão deverá contemplar as seguintes fases:

1019

25.33.1 Planejamento com definição detalhada do escopo e estimativa de horas necessárias para execução da atividade;

1020

25.33.2 Reconhecimento;

1021

25.33.3 Escaneamento;

1022

25.33.4 Ganho de acesso;

1023

25.33.5 Manutenção de acesso;

1024

25.33.6 Cobertura de rastros;

1025

25.34 Ao término de cada teste de invasão, deverão ser produzidos, relatórios analíticos assinados por todos os técnicos envolvidos no teste. No mínimo, os seguintes relatórios deverão ser apresentados:

1026

25.34.1 Relatório executivo, com o resumo gerencial do teste e de seu resultado;

1027

25.34.2 Relatório técnico, com os detalhes completos sobre o teste, seus achados e seus resultados;
25.34.2.1. O relatório técnico deve incluir todo detalhamento do teste de invasão realizado, desde os ativos que foram testados, qual procedimento adotado, ferramentas utilizadas, entre outras informações que possam ser solicitadas;
25.34.2.2. O relatório técnico deve fornecer informações detalhadas da exploração da falha, de forma que possa ser feita a reprodução da exploração;
25.34.2.3. O relatório técnico deve incluir a identificação das vulnerabilidades, pontos fortes e sugestões de remediações/correções.


Participe!

Para participar deve estar logado no portal.

Acessar

Contribuições Recebidas

Estatísticas

72 contribuições recebidas
Para ver o teor das contribuições deve estar logado no portal